Regolamento UE Privacy: approfondimento

In vista dell’imminente applicazione del nuovo regolamento UE sulla protezione dei dati, bisogna sapere che le novità introdotte sono volte, da un lato, a tutelare maggiormente il cittadino che ha fornito i suoi dati stipulando un contratto o acconsentendo al trattamento delle informazioni personali; dall’altro, favoriscono le imprese, le quali potranno disporre e “maneggiare” più agevolmente i dati personali in virtù, ad esempio, del nuovo provvedimento sulla portabilità dei dati. In base a questa nuova misura, gli interessati potranno trasmettere i proprio dati ad altre imprese e/o organizzazioni, con il risultato di favorire una più ampia circolazione dei dati e al contempo, stimolare la concorrenza tra imprese.

Sebbene il dato sulla maggiore circolazione dei dati possa mettere in allarme i cittadini sulla diffusione ed eventuale violazione delle proprie informazioni personali, il Regolamento ha disposto misure efficaci rispetto a queste eventualità. Anzitutto all’interessato è garantito il diritto all’oblio, ovvero la possibilità, in qualsiasi momento, di rettifica o cancellazione dei dati nonché il diritto di revoca del consenso al trattamento. Inoltre è stato introdotto l’obbligo di segnalare alle autorità di controllo il rischio di una possibile violazione dei dati personali entro 72 ore.

Oltre a queste, sono state elaborate anche misure di protezione preventive. Infatti, in diversi casi (imprese che monitorano sistematicamente dati personali o che trattano dati sensibili su larga scala o ancora, impegnate a sorvegliare su larga scala una zona accessibile al pubblico) può essere richiesta una valutazione d’impatto sulla protezione dei dati; Tale valutazione viene fatta prima del trattamento qualora ci fosse il rischio che tale operazione possa minare libertà e diritti dell’interessato. Per ridurre ulteriormente i rischi connessi alla diffusione delle informazioni personali si richiede al titolare del trattamento l’applicazione dei principi di privacy by design e di privacy by default.

Per privacy by design s’intende un’impostazione del trattamento improntata alla preservazione dei dati “fin dalla progettazione”; vale a dire mettere al corrente l’interessato, in primis, sui costi d’attuazione, sulla natura, l’ambito di applicazione, il contesto e la finalità del trattamento, nonché sugli eventuali rischi in cui si può incorrere.

Per privacy by default, invece, s’intende procedere al trattamento dei dati “per impostazione predefinita”; Tale principio ha come scopo la minimizzazione dei dati, riducendo le informazioni trasmesse alle sole finalità previste dal trattamento.

Altro vantaggio per le imprese è l’introduzione del principio dello sportello unico (one stop shop).

Grazie ad esso le imprese potranno interagire solo con l’Autorità di vigilanza del paese in cui è sita la sede principale. Questo comporterà senz’altro una riduzione delle trafile burocratiche. Tuttavia questo provvedimento va a scapito dei consumatori, i quali potrebbero incorrere in non poche difficoltà nell’interazione con un’Autorità estera. Pertanto si è già provveduto ad attenuare l’effetto del nuovo principio stabilendone l’applicazione solo se un’azienda ha più sedi nel territorio dell’Unione o se il trattamento incide su individui presenti in più di uno Stato membro. In ogni caso l’Autorità di controllo del paese in cui si trova la sede principale conserva un ruolo primario, avendo la possibilità di vincolare le altre autorità con le proprie decisioni.

Inoltre, dal nuovo Regolamento, risulta obbligatoria, per l’autorità pubblica e per tutti gli operatori le cui attività prevedono un monitoraggio sistematico degli interessati su larga scala, l’assunzione di una nuova figura: il responsabile della protezione dei dati. Questi coopera con il titolare del trattamento fornendo servizi di informazione e consulenza e assicurandosi che le operazioni relative alla protezione dei dati rispettino il Regolamento.

Con l’obiettivo di far rispettare le nuove norme comunitarie, il Regolamento consente alle autorità di protezione dei dati, di infliggere sanzioni pecuniarie ai titolari e responsabili del trattamento

L'ammontare della sanzione pecuniaria può raggiungere 20 milioni di euro o, nel caso di un'impresa, il 4% del fatturato mondiale annuo;

 Infine, anche le imprese situate fuori dall’Unione Europea ma impegnate in attività di monitoraggio dei cittadini europei o legate ad essa dall’offerta di beni e servizi, dovranno adeguarsi alle norme comunitarie e in determinati casi, designare un rappresentante sito nell’Unione qualora ne fossero sprovvisti.

 

Guarda il video