Da oggi si applica il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, ribattezzato “GDPR”, acronimo di General Data Protection Regulation
Per coloro che come imprese, società, professionisti, organizzazioni trattano, nell’ambito della propria attività, i dati personali di persone fisiche, attraverso sistemi di archiviazione automatizzati o manuali, ecco in breve di cosa si tratta e come adeguarsi.
COS’E’: il GDPR è il nuovo Regolamento generale sulla protezione dei dati, direttamente applicabile nei Paesi aderenti all’Unione Europea. E’ un regolamento unico che abroga la direttiva 95/46/CE (relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati).
PERCHE’ NASCE: il GDPR nasce dalla necessità di uniformare le normative di tutti i Paesi membri (la direttiva 95/46/CE ha, infatti, generato una frammentazione applicativa dovuta alle diverse leggi nazionali di recepimento) e di fornire una maggiore privacy e protezione dei dati per i cittadini dell’UE.
OGGETTO: il GDPR stabilisce le norme relative alla protezione dei dati personali delle persone fisiche nonché le norme relative alla libera circolazione dei dati personali.
CHI TUTELA: il GDPR tutela tutte le persone fisiche titolari dei propri dati personali riguardanti la vita privata, professionale o pubblica (quali ad esempio nome, numero di identificazione, residenza, identificativo on line, fotografie, credo religioso, opinioni politiche, stato di salute).
NEI CONFRONTI DI CHI: il GDPR tutela i dati personali delle persone fisiche nei confronti di tutti coloro che (come ad esempio imprese, società, professionisti, associazioni, consorzi) li trattano (vale a dire li usano, li raccolgono, li conservano, li consultano, li estraggono, li comunicano), attraverso sistemi di archiviazione automatizzati o manuali.
IN QUALE AMBITO TERRITORIALE SI APPLICA: il GDPR si applica a qualsiasi trattamento di dati personali effettuato nel territorio dell’UE o anche fuori dal territorio dell’UE, nel caso in cui vengano raccolti o elaborati dati sulle persone fisiche dell’UE.
PRINCIPI BASE
il GDPR stabilisce che i dati personali debbano essere:
-
trattati in modo lecito, corretto e trasparente;
-
raccolti per finalità determinate e trattati compatibilmente a dette finalità;
-
adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
-
esatti e aggiornati;
-
conservati per il tempo necessario al conseguimento della finalità per le quali sono trattati;
-
protetti.
DIRITTI DEGLI INTERESSATI: le persone fisiche titolari dei propri dati personali hanno diritto ad avere il controllo sui propri dati e quindi a:
-
essere INFORMATE in maniera semplice e chiara su chi detiene i propri dati, per quali finalità e sulla base di quale interesse sono detenuti, il periodo di conservazione degli stessi, se i dati verranno trasferiti a terzi;
-
chiedere di RETTIFICARE o CANCELLARE i propri dati o a LIMITARNE L’USO
-
ottenere uno schema leggibile dei propri dati in formato elettronico al fine di trasmetterlo ad altro soggetto (DIRITTO ALLA PORTABILITA’ DEI DATI)
INCOMBENZE PER I PROFESSIONISTI/AZIENDE: sulla scorta dei principi base dettati dal Regolamento, il titolare del trattamento (vale a dire la persona giuridica o fisica che detiene i dati e ne determina modi e finalità di trattamento) deve:
-
TRATTARE I DATI IN MANIERA LECITA: il trattamento è lecito se è basato sul consenso dell’interessato o su un legittimo interesse.
-
INFORMARE L’INTERESSATO: l’informativa deve comprendere le categorie dei dati personali oggetto di trattamento, l’identità del titolare e quella dell’eventuale rappresentante, le finalità del trattamento, il legittimo interesse alla detenzione dei dati, i diritti degli interessati, il periodo di conservazione dei dati e l’eventuale intenzione di trasferire i dati a terzi.
-
TENERE UN REGISTRO delle attività di trattamento e per il monitoraggio degli adempimenti previsti nel regolamento (N.B. la tenuta del registro non è obbligatoria per le imprese o organizzazioni con meno di 250 dipendenti a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’art. 9, par. 1 o i dati personali relativi a condanne penali e a reati di cui all’art. 10).
-
ATTIVARE LE MISURE DI SICUREZZA DEI DATI PERSONALI: il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire un adeguato livello di sicurezza.