Nuovo regolamento europeo privacy: cosa è cambiato? –
- Nuovo regolamento europeo privacy: a partire dal 25 maggio 2018, è entrata in vigore la nuova normativa sui Cookie a livello europeo a sensi del nuovo regolamento privacy, Regolamento 2016/679.
- Il nuovo regolamento europeo sulla privacy entrato in vigore dal 25 maggio 2018 in tutti i Paesi Membri senza che sia necessario il suo recepimento a livello nazionale di ciascun paese, per cui la sua eventuale inosservanza, ha fatto scattare subito le sanzioni.
- Ma esattamente cosa è cambiato con la nuova normativa cookie? Con l’entrata in vigore del nuovo regolamento sulla privacy 2018, andiamo a vedere cosa cambia:
- 1) Nuovo regolamento privacy: Il consenso esplicito : al fine di garantire una maggiore trasparenza nel trattamento dei dati sensibili, la prevede l’obbligo di ottenere il consenso eplicito da parte degli utenti, anche se non è obbligatoria la forma scritta e per i minori, il consenso è ottenibile dai 16 anni in poi.
Per il consenso esplicito quindi è valido qualunque tipo di manifestazione purché libera e volontaria, specifica, informata e inequivocabile. L’utente che intende dare il consenso, accetta quindi con dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano sono oggetto di trattamento.
- Altresì viene esclusa ogni forma di consenso tacito oppure raccolto attraverso la presentazione di opzioni già selezionate e la sua revoca, può essere effettuata in ogni momento con la stessa semplicità e trasparenza di quando è stata concessa.
- Il trattamento dei dati effettuato fino alla revoca rimane comunque legittimo.2) Nuovo regolamento europeo privacy: il diritto all’oblio.
Il diritto all’oblio è il diritto da parte di un utente di ottenere la cancellazione dei propri dati personali, anche online, da parte del titolare del trattamento, qualora si riscontrino determinate condizioni previste dal Regolamento:
- se i dati sono trattati solo sulla base del consenso;
- se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti;
- se i dati sono stati trattati illecitamente;
- se l’interessato si oppone legittimamente al loro trattamento.
Il diritto all’oblio, dopo il 25 maggio 2018, può quindi essere limitato solo in alcuni casi specifici quali ad esempio:
- garantire l’esercizio della libertà di espressione;
- garantire il diritto alla difesa in sede giudiziaria;
- tutelare un interesse generale come potrebbe essere la salute pubblica;
- se i dati resi anonimi, sono necessari per la ricerca storica o per finalità statistiche o scientifiche.
3) Nuovo regolamento privacy: la portabilità dei dati, A partire dal 25 maggio 2018, al fine di favorire una maggiore fluidità del mercato digitale, è consentito il trasferimento dei dati raccolti da un titolare del trattamento ad un altro ed è possibile cambiare il provider di posta elettronica senza perdere i contatti ed i messaggi salvati.4) Nuovo regolamento privacy garanzie per i minori: i fornitori di servizi Internet ed i social media, possono richiedere il consenso ai genitori o a chi esercita la potestà genitoriale per trattare i dati personali dei minori di 16 anni.
In quale caso non si applica il GDPR?
A chi non si applica il GDPR – La nuova normativa non si applica in alcuni ambiti come la politica estera, la sicurezza comune dell’Unione Europea e le attività delle Autorità Pubbliche, Ciò avviene perché le Autorità e le Istituzioni devono essere libere di poter indagare su reati o rischi riguardanti la collettività.
Quale è l’attuale decreto legge in Italia che è in vigore per regolamentare la privacy?
Legge sulla Privacy – undefined “>Il testo definitivo del Regolamento Europeo sulla Privacy o GDPR ( General Data Protection Regulation) è stato pubblicato in Gazzetta Ufficiale il 4 maggio 2016, con entrata in vigore 20 giorni dopo tale data. Dal 25 maggio 2018 deve essere garantito un perfetto allineamento con le disposizioni fornite dalla legge sulla privacy. undefined “>Con l’arrivo del Regolamento Europeo Privacy, la legge sulla privacy ha fatto un ulteriore passo avanti: il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ha abrogato infatti la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) e, di conseguenza, ha sostituito il Codice Privacy italiano (D.Lgs.196 del 2003). undefined “>In Italia il GDPR 679/16 è armonizzato dal Decreto 101/2018 che integra la vecchia 196/2003 con la nuova normativa europea.
Quali dati privacy devono essere comunicati per obblighi di legge?
Quando è dovuta tale informativa e cosa deve contenere? – L’informativa è una comunicazione rivolta all’interessato con lo scopo di informarlo sulle finalità e le modalità del trattamento dei dati da parte del titolare del trattamento ed è dovuta ogni qual volta vi sia un trattamento di dati. Esistono, tuttavia, casi in cui non occorre informare l’interessato, ad esempio quando:
- l’interessato dispone già delle informazioni
- comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato
- l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare
- i dati personali debbano rimanere riservati per obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri.
L’informativa deve avere il seguente contenuto minimo:
- l’ identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante
- i dati di contatto del responsabile della protezione dei dati, ove applicabile
- la base giuridica del trattamento, in caso di trattamento basato su consenso o giustificato da leggi
- categorie di dati trattati e finalità del trattamento, ossia quali dati verranno trattati e per quale fine
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali
- l’eventuale trasferimento di dati in Paesi extra UE (chiedendo autorizzazioni specifiche nel caso in cui le Autorità Garanti non abbiano definito il livello di protezione del Paese in questione)
- il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo
L’ informativa deve essere chiara e concisa, facilmente accessibile ed intelligibile, Deve essere resa per iscritto o con altri mezzi (ad esempio posta elettronica) e, se richiesto dall’interessato, in forma orale (purché l’identità dell’interessato sia comprovata con altri mezzi).
- analisi statistiche
- indagini di mercato
- newsletter
- trattamento dati particolari (ex dati sensibili)
- trattamento dati di minori
- Altri fondamentali diritti di cui l’interessato è titolare sono il diritto di accesso ai dati personali, il diritto di rettifica e cancellazione (diritto all’oblio), il diritto di limitazione e di opposizione al trattamento e il diritto alla portabilità dei dati.
- SANZIONI
- In materia di informazione da fornire agli interessati, una violazione può comportare aspre sanzioni da parte dell’autorità di controllo (Garante) e il blocco dei dati raccolti oltre che un cospicuo risarcimento danni.
Chi risponde per il danno provocato dal trattamento che violi il GDPR?
Articolo 82 EU regolamento generale sulla protezione dei dati (EU-RGPD)
|
/td>
Articolo 82 EU regolamento generale sulla protezione dei dati (EU-RGPD)
Che cosa si intende per dati personali?
Che cosa sono i dati personali? I dati personali sono tutte le informazioni relative a una persona vivente identificata o identificabile, Anche le varie informazioni che, raccolte insieme, possono portare all’identificazione di una determinata persona costituiscono i dati personali.
I dati personali sottoposti a deidentificazione, cifratura o pseudonimizzazione, ma che possono essere utilizzati per reidentificare una persona, rimangono dati personali e rientrano nell’ambito di applicazione della normativa. I dati personali che sono stati resi anonimi, in modo tale che l’individuo non sia o non sia più identificabile, non sono più considerati dati personali.
Perché i dati siano veramente anonimi, l’anonimizzazione deve essere irreversibile. Il regolamento protegge i dati personali a prescindere dalla tecnologia utilizzata per trattare tali dati, Si dice quindi neutrale sotto il profilo tecnologico e si applica sia al trattamento automatizzato che a quello manuale, a condizione che i dati siano organizzati in base a criteri predefiniti (ad es.
nome e cognome;indirizzo di casa;indirizzo e-mail, come ;numero della carta d’identità;dati sulla posizione (ad es. la funzione di posizionamento su un telefono cellulare)*;un indirizzo IP (Internet Protocol);un ID cookie*;l’identificativo pubblicitario del proprio telefono;i dati conservati in un ospedale o da un medico, che possono essere un simbolo che identifica univocamente una persona.
* In alcuni casi è prevista una normativa settoriale specifica che regola, ad esempio, l’uso dei dati relativi alla posizione o all’uso dei cookie: la direttiva e-privacy (direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002 (GU L 201 del 31.7.2002, pag.37) e il regolamento (CE) n.2006/2004 del Parlamento europeo e del Consiglio del 27 ottobre 2004 (GU L 364 del 9.12.2004, pag.1).
numero di iscrizione al registro delle imprese di una società;indirizzo e-mail, come ;dati resi anonimi.
Chi risponde per il danno GDPR?
Danno e risarcimento del danno – L’articolo 82 del GDPR stabilisce che ” chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento “.
L’espressione utilizzata è riferita al danno patrimoniale e non patrimoniale. Il soggetto danneggiato (cioè l’ interessato ) a seguito di un trattamento dei suoi dati in violazione delle norme del GDPR (nonché degli atti delegati e di esecuzione del GDPR, e delle norme nazionali di adattamento) può ottenere il risarcimento di qualunque danno occorsogli (anche se la lesione è marginale), sia a seguito di condotta del titolare (ed eventuali contitolari) che del responsabile del trattamento,
Il titolare risponde per il danno causato dal trattamento in violazione del regolamento, mentre il responsabile solo del danno causato dal non corretto adempimento dei suoi obblighi specifici, o se ha agito in modo difforme rispetto alle istruzioni del titolare.
- Eventuali sub-responsabili, invece, rispondono solo internamente, verso il responsabile, non verso gli interessati.
- In sintesi si configura in capo al titolare ed eventuali responsabili una responsabilità oggettiva per contrarietà ai precetti del GDPR.
- Il concetto di danno è precisato nel Considerando 146: ” Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile,
Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. Ciò non pregiudica le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri.
Un trattamento non conforme al presente regolamento comprende anche il trattamento non conforme agli atti delegati e agli atti di esecuzione adottati in conformità del presente regolamento e alle disposizioni del diritto degli Stati membri che specificano disposizioni del presente regolamento. Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito,
Qualora i titolari del trattamento o i responsabili del trattamento siano coinvolti nello stesso trattamento, ogni titolare del trattamento o responsabile del trattamento dovrebbe rispondere per la totalità del danno. Tuttavia, qualora essi siano riuniti negli stessi procedimenti giudiziari conformemente al diritto degli Stati membri, il risarcimento può essere ripartito in base alla responsabilità che ricade su ogni titolare del trattamento o responsabile del trattamento per il danno cagionato dal trattamento, a condizione che sia assicurato il pieno ed effettivo risarcimento dell’interessato che ha subito il danno.
Il titolare del trattamento o il responsabile del trattamento che ha pagato l’intero risarcimento del danno può successivamente proporre un’azione di regresso contro altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento “. Si applica il principio del cumulo tra i vari soggetti (art.82.
par.4), in modo che i danneggiati ottengano sempre l’intero risarcimento del danno, potendo agire per l’intero danno indifferentemente contro uno qualsiasi dei soggetti tenuti solidalmente al risarcimento, indipendentemente da eventuali ripartizioni interne tra i danneggianti.
Eventuali clausole contrattuali di ripartizione del danno valgono solo nei rapporti interni tra i danneggianti, per cui il soggetto che ha provveduto a risarcire il danno potrà agire in regresso contro gli altri soggetti per le quote di responsabilità. In assenza di accordi interni occorrerà un accertamento giudiziale per la ripartizione interna per quote.
Eventuali delegati del titolare e autorizzati, invece, rispondono solo nella misura dell’effettivo concorso alla causazione del danno, in base all’art.2043 c.c., sempre limitatamente nei rapporti interni con i soggetti tenuti al risarcimento. Si delinea un regime differenziato.
Le persone fisiche, giuridiche o altri enti che trattano dati per attività di impresa o professionale sono soggette al regime speciale agevolato per l’interessato al trattamento tipizzato dall’art.82 GDPR, con risarcimento del danno patrimoniale o non patrimoniale. Le persone fisiche, invece, che trattano dati per scopi domestici o personali, sono soggette al regime ordinario di responsabilità aquiliana (art.2043 c.c.).
In quest’ultimo caso il risarcimento del danno non patrimoniale consegue solo alla prova che il trattamento configuri un reato (art.2059 c.c.) oppure il danneggiato sia in grado di dimostrare la lesione di un diritto fondamentale della persona protetto dall’art.2 Cost.
Quale direttiva è stata sostituita dal GDPR?
Il Regolamento Generale sulla Protezione dei Dati (GDPR), in vigore dal 25 maggio 2018, ha sostituito la Direttiva sulla protezione dei dati 95/46/CE, e ha promosso l’applicazione coerente di norme uniformi in tutti gli Stati membri. – L’impiego diffuso di Internet e dei sistemi di intelligenza artificiale da parte di imprese, istituzioni e cittadini, nonché il diffondersi di nuovi modelli economici, basati sull’utilizzo dei dati, accresce il rischio di crimini informatici.
- L’acquisizione, l’alterazione o la divulgazione non autorizzata di dati è un pericolo reale.
- Negli ultimi anni in Europa si sono registrate migliaia di violazioni di dati personali ( data breach ) e l’Unione europea si è attivata per affrontare la questione.
- L’esigenza di garantire un’ adeguata tutela della privacy in tutti gli Stati membri ha portato all’emanazione della Direttiva 95/46/CE sulla protezione dei dati, abrogata dal Regolamento UE 679/2016 (GDPR – General Data Protection Regulation), che ha fissato regole armonizzate direttamente applicabili all’interno dell’UE per la protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.
Il GDPR ha definito le modalità ammesse di raccolta, conservazione, uso, modifica e diffusione dei dati personali, i ruoli, le responsabilità e le sanzioni. Inoltre ha identificato le autorità di controllo e le garanzie dei sistemi di protezione. Le modifiche introdotte puntano su una maggiore responsabilizzazione delle figure coinvolte e mirano a dare maggiore concretezza alle attività di protezione dei dati.
Quali sono i benefici attesi con l’introduzione del GDPR?
QUALI ALTRI BENEFICI? – Ma a beneficiare del GDPR non sono solo gli Interessati, Se visto come un’opportunità il GDPR può essere il fattore differenziante che permette alle aziende di distinguersi positivamente nel mercato e dai loro competitors. In questo modo, diventa un vero e proprio investimento in innovazione.
Tra le novità del Regolamento c’è l’opportunità di dimostrare la propria conformità tramite certificazione; questa diventa un vero e proprio vantaggio competitivo, specialmente nel momento in cui vi sia la possibilità di partecipare a bandi pubblici o collaborare con aziende di un certo tipo. Oltretutto, che voi ci crediate o no, adeguarsi al Regolamento Europeo consentirà di incrementare la fiducia che i clienti avranno nei vostri confronti.
La trasparenza è una delle armi più forti a nostra disposizione; se rispettiamo le norme del GDPR tenendo a mente i nostri clienti, non solo applichiamo la trasparenza ma generiamo fiducia nei nostri confronti. Last but not least, un aspetto ed un altro importante beneficio che forse viene un po’ sottovalutato: la nascita di nuovi posti di lavoro,
- Si ipotizzano migliaia di nuove posizioni lavorative per la carica di DPO dopo l’applicazione del GDPR.
- La necessità, per non dire l’obbligo, che porta all’adeguamento al GDPR è una via a senso unico, con un’unica direzione di marcia.
- Ma un aspetto su cui possiamo scegliere è l’approccio con cui decidiamo di procedere in questo percorso.
E tu che cosa ne pensi? Lascia un commento qui sotto!