Nuova normativa privacy dal 25 maggio

Sulla Gazzetta Ufficiale dell'Unione Europea è stato pubblicato il testo del nuovo regolamento sulla protezione dei dati personali, che ridefinisce la disciplina europea in materia di Privacy, introducendo molti e importanti cambiamenti. Il regolamento decorrerà dal 25 maggio 2018 direttamente e uniformemente applicabile in tutti gli Stati membri dell'Unione.

Vediamo una sintesi delle modifiche più significative: 

• Ogniqualvolta vi sia un trattamento di dati personali di soggetti stabiliti nell'UE da parte di un soggetto stabilito al di fuori della stessa, al fine di offrire loro beni e/o servizi, dovranno essere applicate le prescrizioni del nuovo Regolamento. Questa innovazione interessa in particolare modo gli Internet service provider esteri: questi non potranno sottrarsi all'applicazione della normativa europea in materia di privacy, invocando l'assenza di un proprio stabilimento nel territorio UE.

• È previsto che il consenso per il trattamento dei dati personali sia valido solo quando è stato reso attraverso un atto positivo inequivocabile, rimanendo esclusa la possibilità di presumerlo dall'inattività, dal silenzio dell'interessato o dalla preselezione di caselle. Il consenso potrà essere sempre revocato, senza limiti di sorta, da parte dei soggetti interessati. 

• Viene espressamente previsto il diritto all'oblio, ossia la cancellazione definitiva dei dati e conservati dal titolare del trattamento. Inoltre si esprime anche il diritto alla portabilità degli stessi da un titolare del trattamento ad un altro, su richiesta degli interessati. 

• È stato introdotto il concetto di protezione dei dati personali "by design" e "by default", ovvero la necessità per i titolari di adottare misure a protezione dei dati, sia nel momento in cui vengono raccolti, che per tutta la durata del trattamento, e di usarli secondo le finalità per cui gli interessati hanno prestato il loro consenso e per il tempo necessario alla realizzazione delle stesse.

• Vengono inoltre previsti l'obbligo di compiere una valutazione d'impatto iniziale per i trattamenti di dati più delicati e l'obbligo di tenere un registro delle attività relative al trattamento stesso.

• I titolari del trattamento sono soggetti a un obbligo di notifica di eventuali violazioni di dati personali di cui siano venuti a conoscenza verso i Garanti nazionali e/o gli interessati.

• Per quegli enti pubblici e privati che trattano dati di natura delicata, o monitorano su larga scala e in modo sistematico gli individui, viene introdotta la figura del c.d. Data protection officer: un soggetto, dipendente o esterno all'ente, esperto di normativa e prassi in materia di privacy, con il compito di informare e consigliare il titolare del trattamento in merito agli obblighi derivanti dal Regolamento stesso, di vigilare sul loro effettivo adempimento, di fornire le valutazioni d'impatto sulla protezione dei dati raccolti e di interfacciarsi con gli interessati e con il Garante.

• Viene introdotta la possibilità per i titolari e responsabili del trattamento di ottenere, da parte di organismi certificatori accreditati una certificazione per quanto concerne la conformità del trattamento alla normativa prevista dal Regolamento.

• Le sanzioni vengono sensibilmente inasprite. Nel caso di violazioni delle norme previste dal Regolamento sono previste sanzioni pecuniarie fino ad un massimo di 20.000.000€ o fino al 4% del fatturato annuo complessivo, nel caso delle imprese.