Privacy. Il 25 maggio è entrato in vigore il nuovo Regolamento Europeo per la protezione dei dati personali. Regole più severe e multe fino a 20 milioni di euro per la violazione e la fuga dei dati. E quello che era il “diritto all’oblio” diventa “diritto alla cancellazione”
Dal 25 maggio tutti i cittadini europei avranno un nuovo regolamento, il GDPR, a tutela dei propri dati personali e sensibili (il General Data Protection Regulation o Regolamento Ue 2016/679). Una normativa che cambia e innova il sistema in vigore, assicurando una maggiore protezione della privacy e uniformando le leggi europee esistenti.
Le persone e le imprese, tanto quelle che offrono servizi nell’ambito dell’Unione Europea sia quelle con sede al di fuori dell’Unione, avranno pari diritti in ogni Paese europeo per ciò che riguarda la tutela e il pieno controllo delle informazioni che le riguardano.
Quali sono i principali cambiamenti?
Ci sarà maggior protezione contro le violazioni dei dati personali (una tutela importante per i cittadini e un passo avanti nella cybersecurity attiva): le imprese sono tenute a notificare i ‘data breach’ alle autorità entro 72 ore.
Sono previste multe fino a 20 milioni di euro – nel caso di aziende, fino al 4% del fatturato annuo mondiale – per gli inadempienti.
E’ prevista dal regolamento la nomina del Responsabile protezione dati.
E’ possibile revocare il proprio consenso in qualsiasi momento contattando il responsabile del trattamento dati.
Se i dati personali vengono utilizzati illecitamente si può fare richiesta di cancellazione.
La nuova norma si applica anche ai motori di ricerca.
I minori che vogliono utilizzare servizi online avranno bisogno dell’autorizzazione dei genitori fino ai 16 anni.
Nel caso in cui si ritenga che i propri diritti siano stati violati si può presentare una denuncia all’autorità nazionale che dovrà indagare e rispondere entro tre mesi
ULTERIORI INFORMAZIONI SUL REGOLAMENTO E SULLA PROTEZIONE DEI DATI
Che cosa disciplina il regolamento generale sulla protezione dei dati (GDPR)?
Il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio1, cioè il nuovo regolamento generale UE sulla protezione dei dati (il «regolamento»), disciplina il trattamento dei dati personali relativi alle persone nell’UE, da parte di persone, società o organizzazioni.
Non si applica al trattamento dei dati personali di persone decedute o di persone giuridiche.
Le norme non si applicano ai dati trattati da un individuo per motivi strettamente personali o per attività svolte in casa, a condizione che non vi sia alcun legame con attività professionali o commerciali. Quando invece una persona utilizza i dati personali al di fuori della «sfera personale», ad esempio per attività socio-culturali o finanziarie, allora occorre rispettare la normativa sulla protezione dei dati.
Esempi
Quando si applica il regolamento
Una società con sede nell’UE fornisce servizi di viaggio a clienti che risiedono nei paesi baltici e a tal scopo tratta i dati personali di persone fisiche.
Quando non si applica il regolamento
Una persona utilizza la propria rubrica privata per invitare gli amici via e-mail a una festa che sta organizzando (eccezione domestica).
Riferimenti
Articoli 1 e 2; considerando 1, 2, 14, 18 e 27 del regolamento
Che cosa sono i dati personali?
I dati personali sono tutte le informazioni relative a una persona vivente identificata o identificabile. Anche le varie informazioni che, raccolte insieme, possono portare all’identificazione di una determinata persona costituiscono i dati personali.
I dati personali sottoposti a deidentificazione, cifratura o pseudonimizzazione, ma che possono essere utilizzati per reidentificare una persona, rimangono dati personali e rientrano nell’ambito di applicazione della normativa.
I dati personali che sono stati resi anonimi, in modo tale che l’individuo non sia o non sia più identificabile, non sono più considerati dati personali. Perché i dati siano veramente anonimi, l’anonimizzazione deve essere irreversibile.
Il regolamento protegge i dati personali a prescindere dalla tecnologia utilizzata per trattare tali dati. Si dice quindi neutrale sotto il profilo tecnologico e si applica sia al trattamento automatizzato che a quello manuale, a condizione che i dati siano organizzati in base a criteri predefiniti (ad es. in ordine alfabetico). Inoltre, non importa come vengono archiviati i dati: in un sistema informatico, tramite videosorveglianza o su carta; in tutti questi casi, i dati personali sono soggetti agli obblighi di protezione stabiliti nel regolamento.
Esempio di dati personali:
- nome e cognome;
- indirizzo di casa;
- indirizzo e-mail, come nome.cognome@azienda.com;
- numero della carta d’identità;
- dati sulla posizione (ad es. la funzione di posizionamento su un telefono cellulare)*;
- un indirizzo IP (Internet Protocol);
- un ID cookie*;
- l’identificativo pubblicitario del proprio telefono;
- i dati conservati in un ospedale o da un medico, che possono essere un simbolo che identifica univocamente una persona.
Esempi di dati non considerati personali:
- numero di iscrizione al registro delle imprese di una società;
- indirizzo e-mail, come info@azienda.com;
- dati resi anonimi.
Riferimenti
- Articolo 2, articolo 4, punti 1 e 5; considerando 14, 15, 26, 27, 29 e 30 del regolamento
- WP 01248/07/IT, WP 136 – Parere 4/2007 sul concetto di dati personali
- Gruppo di lavoro ex articolo 29 – Parere 05/2014 sulle tecniche di anonimizzazione
Cosa costituisce il trattamento dei dati?
Il «trattamento» copre una vasta gamma di operazioni eseguite sui dati personali, incluse quelle con mezzi manuali o automatizzati. Comprende la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione di dati personali.
Esempi di trattamento:
- gestione del personale e amministrazione delle paghe;
- accesso/consultazione di una banca dati di contatti contenente dati personali;
- invio di e-mail promozionali*;
- triturazione di documenti contenenti dati personali;
- postare/mettere una foto di una persona su un sito web;
- memorizzazione di indirizzi IP o indirizzi MAC;
- videoregistrazione (CCTV).
Riferimenti
Articolo 4, punti 2 e 6 del regolamento
Chi sono le autorità per la protezione dei dati?
Si tratta di autorità pubbliche indipendenti che vigilano, tramite i poteri investigativi e correttivi, sull’applicazione della normativa sulla protezione dei dati. Esse forniscono una consulenza specialistica sulle questioni legate alla protezione dei dati e gestiscono i reclami presentati contro le violazioni del regolamento generale sulla protezione dei dati e delle leggi nazionali pertinenti. Ne esiste una per ogni Stato membro dell’UE.
In linea generale, il punto di contatto principale per le domande sulla protezione dei dati è l’autorità nello Stato membro dell’UE in cui è basata la propria azienda/organizzazione. Tuttavia, se la propria azienda tratta dati in diversi Stati membri dell’UE o fa parte di un gruppo di società con sede in diversi Stati membri dell’UE, questo punto di contatto principale potrebbe essere un’autorità in un altro Stato membro dell’UE.
Autorità europee per la protezione dei dati
Riferimenti
- Articolo 4, punto 16, e capo VI (articoli 51-59); considerando 117-123 del regolamento
- Gruppo di lavoro ex articolo 29 – Linee guida sull’autorità di controllo capofila, WP 244
- Gruppo di lavoro ex articolo 29 – Linee guida per l’individuazione dell’autorità di controllo capofila e allegato II – Domande frequenti