Con l’entrata in vigore il 25 maggio 2018 del GDPR, la nuova regolamentazione europea della Privacy intende rafforzare e rendere più omogenea la protezione dei dati personali di tutti i cittadini nell’Unione Europea e dei suoi residenti, sia all’interno che all’esterno dei confini dell’Unione.
L’armonizzazione delle diverse normative era già iniziata con le precedenti direttive Privacy. Tuttavia l’Unione Europea ha optato per rendere ulteriormente più omogenea la disciplina in questo ambito scegliendo questa volta il più incisivo strumento legislativo del Regolamento che si applica direttamente in tutto il territorio dell’Unione senza bisogno di recepimento.
Il Regolamento faciliterà l’osservanza delle norme da parte delle imprese sia europee che non. L’incentivo all’osservanza è determinato da un regime che prevede una severa disciplina sanzionatoria.
In un’economia in cui i dati sono il nuovo “oro” e in cui le società dei big data sono quotate più di quelle in ambito petrolchimico diviene fondamentale prevedere una rigida tutela dei dati dei cittadini, i quali spesso non ne percepiscono il valore.
Il GDPR introduce una serie di “diritti digitali” concentrati ad offrire un’incisiva protezione dei dati personali.
Il regolamento avrà un’applicabilità “extraterritoriale”, per ciò si applicherà al trattamento di dati personali di imprese ed enti responsabili che abbiano sede legale nell’UE, indipendentemente dal fatto che il trattamento avvenga all’interno o all’esterno del territorio dell’Unione Europea.
Vengono istituite nuove autorità europee che opereranno congiuntamente alle Autorità Garanti della Protezione dei Dati Personali di ogni stato membro al fine di istituire un sistema di “sportello unico” contrastando così il fenomeno del ‘forum shopping’ da parte delle società.
Il regolamento impone ai responsabili del trattamento dei dati di aderire ai principi di:
– liceità,
– correttezza,
– trasparenza,
Limitando l’autorizzazione all’elaborazione dei dati ad un elenco esaustivo di 6 fattispecie e riducendo anche la possibilità di concessione del consenso.
Le fattispecie sono le seguenti:
1. L’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più finalità specifiche;
2. Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
3. Il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
4. Il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
5. Il trattamento è necessario per la tutela di un interesse pubblico o comunque connesso all’esercizio di poteri pubblici di cui è investito il titolare del trattamento;
6. Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
Diventa fondamentale ed obbligatorio, quando si progetta un nuovo sistema, processo, servizio, ecc. che elabori i dati personali, assicurarsi che le considerazioni sulla protezione dei dati siano prese in considerazione a partire sin dalle prime fasi del processo di progettazione.
Inoltre, quando il sistema, processo, servizio, ecc. da progettare includerà diverse opzioni di scelta riservate all’individuo su quanti e quali dati personali condividerà, l’impostazione predefinita dovrà essere quella più rispettosa della privacy.
Il GDPR, analogamente alle normative a tutela della concorrenza e alle norme di contrasto al fenomeno della corruzione, impone sanzioni (Articoli 83 e 84) che possono arrivare fino al 4% del fatturato mondiale annuo o 20 milioni di Euro (a seconda di quale sia maggiore).
Questa è l’ammenda massima prevista che può irrogata per le violazioni più gravi come ad esempio il non avere il consenso del cliente al fine di elaborare i dati o per le violazioni del principio imposto noto come ‘Privacy by Design’.
Il GDPR inoltre facilita i reclami dei privati contro i responsabili del trattamento.
Il GDPR contribuirà ampiamente allo sviluppo del mercato unico digitale dell’UE, implementando varie misure di protezione, offrendo opportunità digitali per le persone e le imprese rafforzando la posizione dell’Europa quale leader nell’economia digitale.
Rimane da valutare come l’Italia raccorderà la normativa nazionale attualmente vigente con il nuovo Regolamento Europeo.
Per qualunque informazione non esitate a contattarci.
Euroleges ®