GDPR – Regolamento Generale sulla Protezione dei Dati

Una panoramica delle principali modifiche in GPDR e come differiscono dalla precedente direttiva

L’obiettivo del DPPR è quello di proteggere tutti i cittadini dell’UE dalla violazione di dati privati ​​e di dati in un mondo sempre più basato sui dati che è notevolmente diverso dal momento in cui è stata stabilita la direttiva del 1995. Sebbene i principi fondamentali della privacy dei dati siano ancora conformi alla direttiva precedente, sono state proposte molte modifiche alle politiche di regolamentazione; si trattano i punti chiave del DPPR e le informazioni sugli impatti che avrà sul business.

Aumento del campo territoriale (applicazione extra territoriale)

Probabilmente la più grande modifica al panorama normativo della privacy dei dati viene con la competenza estesa del DPPR, in quanto si applica a tutte le società che trattano i dati personali dei soggetti interessati residenti nell’Unione, indipendentemente dalla posizione dell’azienda. In precedenza, l’applicabilità territoriale della direttiva era ambigua e si riferiva al processo dei dati “nel contesto di uno stabilimento”. Questo argomento è sorto in una serie di casi giudiziari di alto profilo. Il GPDR rende la sua applicazione molto chiara – si applica al trattamento dei dati personali da parte dei controllori e dei processori nell’UE, indipendentemente dal fatto che l’elaborazione avviene nell’UE o meno. Il DPPR si applica anche al trattamento dei dati personali dei soggetti interessati nell’UE da un controllore o un trasformatore non stabilito nell’UE, dove le attività riguardano: offrendo beni o servizi ai cittadini dell’UE (indipendentemente dal fatto che sia necessario il pagamento) e il controllo dei comportamenti che si svolgono all’interno dell’UE. Le imprese non-UE che elaborano i dati dei cittadini dell’UE dovranno altresì nominare un rappresentante nell’UE.

Sanzioni

Nelle organizzazioni di DPP in violazione del DPPR può essere inflitta una multa fino al 4% del fatturato annuo globale o di 20 milioni di euro (qualunque sia maggiore). Questa è l’ammenda massima che può essere imposta per le infrazioni più gravi, ad esempio non avere un sufficiente consenso del cliente per elaborare dati o violare il nucleo dei concetti Privacy by Design. Esiste un approccio graduale alle multe, ad esempio una società può essere messa in denaro del 2% per non avere i propri documenti in ordine (articolo 28), senza informare l’autorità di vigilanza e il soggetto interessato di una violazione o di non effettuare una valutazione d’impatto. È importante notare che queste regole si applicano a entrambi i controllori e ai processori – ovvero “cloud” non saranno esenti dall’applicazione del DPPR.

Consenso

Le condizioni per il consenso sono state rafforzate e le società non saranno più in grado di utilizzare termini e condizioni lunghi illeggibili piena di legalese, in quanto la richiesta di consenso deve essere fornita in forma intelligibile e facilmente accessibile, allo scopo di elaborare i dati allegati quel consenso. Il consenso deve essere chiaro e distinguibile da altre questioni e fornito in forma intelligibile e facilmente accessibile, utilizzando una lingua chiara e intendibile. Deve essere altrettanto facile ritirare il consenso.

Dati soggetti Diritti 

Notifica delle violazioni

Sotto il DPPR, la notifica di violazione diventerà obbligatoria in tutti gli Stati membri in cui una violazione dei dati è suscettibile di “provocare un rischio per i diritti e le libertà degli individui”. Questo deve essere fatto entro 72 ore dalla prima volta che si è resi conto della violazione. I processori di dati saranno inoltre tenuti a informare i propri clienti, i controllori, “senza indebito ritardo” dopo aver prima preso coscienza di una violazione dei dati.

Diritto di accesso

Parte dei diritti espansi dei soggetti dati indicati dal DPPR è il diritto per i soggetti interessati di ottenere dalla conferma del titolare del trattamento se i dati personali trattati sono trattati, dove e per quale scopo. Inoltre, il controllore deve fornire una copia dei dati personali gratuitamente, in un sito elettronico. Questa modifica è un cambiamento drammatico alla trasparenza dei dati e all’autorizzazione dei soggetti interessati.

Diritto ad essere dimenticato

Conosciuto anche come Cancellazione dati, il diritto di essere dimenticato dà diritto all’applicazione del titolare del trattamento dei dati personali, alla cessazione ulteriore della diffusione dei dati e alla possibilità per i terzi di interrompere l’elaborazione dei dati. Le condizioni per la cancellazione, come descritto all’articolo 17, comprendono i dati che non sono più rilevanti per scopi originali per la trasformazione o per i soggetti che ritirano il consenso. Va anche sottolineato che questo diritto richiede ai controllori di confrontare i diritti dei soggetti con “interesse pubblico nella disponibilità dei dati” quando si considerano tali richieste.

Portabilità dei dati

DPP introduce la portabilità dei dati – il diritto per un soggetto interessato di ricevere i dati personali che li riguardano, che essi hanno già fornito in un ”e hanno il diritto di trasmettere tali dati a un altro controllore.

Privacy per progettazione

privacy per progettazione come concetto è esistita da anni, ma sta solo diventando parte di un requisito legale con il GDPR. Al centro, la privacy per design richiede l’inclusione della protezione dei dati dall’inizio della progettazione dei sistemi, piuttosto che un’aggiunta. In particolare: “Il regolatore deve … apportare adeguate misure tecniche e organizzative … in modo efficace per soddisfare le esigenze del presente regolamento e proteggere i diritti dei soggetti interessati”. L’articolo 23 chiede che i controllori possano tenere e trattare solo i dati assolutamente necessari per il completamento dei suoi compiti (riduzione dei dati), nonché limitare l’accesso ai dati personali a coloro che hanno bisogno di intervenire.

Ufficiali di protezione dei dati

Attualmente i controllori sono tenuti a notificare le loro attività di elaborazione dati con i DPA locali, che, per le multinazionali, possono essere un incubo burocratico con la maggior parte degli Stati membri che hanno requisiti di notifica diversi. Nell’ambito del DPPR non sarà necessario presentare notifiche / iscrizioni ad ogni DPA locale delle attività di trattamento dei dati, né sarà necessario informare / ottenere l’approvazione dei trasferimenti in base alle Clausole di Modello di Contratto (MCC). Invece, ci saranno requisiti di registrazione interna, come spiegato più avanti, e l’assunzione di DPO sarà obbligatoria solo per quei controllori e processori le cui attività principali consistono in operazioni di elaborazione che richiedono un monitoraggio periodico e sistematico dei soggetti interessati su larga scala o di speciali categorie di dati o dati relativi alle condanne e reati penali.

• Deve essere nominato sulla base di qualità professionali e, in particolare, di conoscenze esperte sulla legge e sulle pratiche in materia di protezione dei dati
• Può essere un membro del personale o un fornitore di servizi esterni
• I dati di contatto devono essere forniti alla DPA pertinente
• Deve essere dotato di risorse idonee per svolgere i propri compiti e mantenere le proprie competenze
• Deve segnalare direttamente il livello di gestione più elevato
• Non deve svolgere tutti gli altri compiti che potrebbero risultati in un conflitto di interessi.