Gdpr 2018: nuove regole sulla privacy. Cosa cambia

Iniziato il conto alla rovescia per l'entrata in vigore del nuovo regolamento generale sulla protezione dei dati. Nuovo regolamento sul consenso e diritti degli interessati.

Gdpr 2018: nuove regole sulla privacy
 

C'è una data da segnare sul calendario ed è quella del 25 maggio 2018. Si tratta infatti di quella dell'entrata in vigore del nuovo regolamento generale sulla protezione dei dati (Gdpr). Cosa cambia e quali sono le principali novità di quello che viene considerato il pacchetto di norme più impattante in materia di privacy? Il regolamento conferma che ogni trattamento deve trovare fondamento in una base giuridica. Si tratta allora di fare chiarezza su consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati..

Nuovo regolamento sul consenso

Stando al nuovo regolamento generale sulla protezione dei dati (Gdpr), per i dati sensibili il consenso deve essere esplicito. Non deve essere documentato per iscritto a tutti i costi e né è richiesta la forma scritta, anche se questa è modalità idonea a configurare l'inequivocabilità del consenso e il suo essere esplicito. Di più: il titolare deve essere in grado di dimostrare che l'interessato ha prestato il consenso a uno specifico trattamento. Il consenso dei minori è valido a partire dai 16 anni. Prima di tale età è necessario raccogliere il consenso dei genitori o di chi ne fa le veci. Il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell'interessato non spetta all'Autorità ma è compito dello stesso titolare. Si tratta di una delle principali espressioni del principio di responsabilizzazione introdotto dal nuovo pacchetto protezione dati.

Capitolo informativa, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati - Data Protection Officer), se esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti. Il regolamento prevede anche ulteriori informazioni in quanto "necessarie per garantire un trattamento corretto e trasparente". In particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per

stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all'autorità di controllo. Se il trattamento comporta processi decisionali automatizzati, l'informativa deve specificarlo e deve indicare anche la logica dei processi decisionali e le conseguenze previste per l'interessato.

Diritti degli interessati con il Gdpr

Il termine per la risposta all'interessato è 1 mese, estendibile fino a 3 mesi in casi di particolare complessità. Il titolare deve comunque dare un riscontro all'interessato entro 1 mese dalla richiesta, anche in caso di diniego. La risposta non deve essere solo intelligibile, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.