10 Giu GDPR: Nuovo Regolamento Europeo sulla Privacy

Dal 25 maggio il D.Lgs n. 196 del 2003 (Codice privacy) non è più applicabile, ed è stato completamente sostituito al Regolamento Europeo General Data Protection Regulation (GDPR).

Professionisti e aziende devono essersi adeguati entro il 25 maggio, o quantomeno attivati, nei tempi e scadenze previsti dalle norme di riferimento, dimostrando attestazione di “adempimenti in corso”, anche di aver dato mandato a professionisti per l’avvio delle procedure di adeguamento.

Il GDPR si concentra sulla responsabilità del titolare del trattamento che deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento stesso, con riesame ed aggiornamento periodico (art. 24, al paragrafo 2).

Tutto il sistema delle prescrizioni è fondato su tale responsabilità, con l’analisi del rischio dal quale si delineano le successive misure tecniche e organizzative da adottare.

Tutti i rapporti con cui il titolare affida il trattamento dei dati, in parte o totalmente, e sotto il suo controllo, vanno definiti e regolati da un contratto che specifichi la materia disciplinata, la natura, la finalità del trattamento, la tipologia di dati personali, le categorie, gli obblighi e i diritti del titolare del trattamento. Il titolare comunque rimane uno solo con tutti i trattamenti a lui facenti capo.

Dall’altro canto, necessita poi il consenso. In questo caso si indica una “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.  La validità del consenso si concretizza con un’azione liberamente eseguita. I soggetti devono pertanto avere facoltà di rifiutare o revocare il consenso senza conseguenza alcuna. ll consenso deve essere manifestato su diverse richieste a seconda delle diverse finalità. Ogni informazioni va fornita a seguito di ogni richiesta di consenso distintamente; ciò permette agli interessati di essere informati sulle diverse scelte a disposizione.

Il consenso deve fornire le seguenti  informazioni:

• Identità del titolare del trattamento;
• Finalità di ciascun trattamento per il quale è richiesto il consenso;
• Tipologia di dati raccolti e utilizzati;
• Evidenza del diritto di revoca al consenso;
• Identificare l’uso dei dati;
• Eventuali indicazioni sui rischi di trasferimento dati verso l’estero;
• Indicazione di un chiaro atto di consenso palesato dall’interessato scritto e registrato.

Non sarà da ritenersi valido un consenso manifestato con silenzio o inattività o manifestato come parte integrante di un contratto.

Il consenso si definisce esplicito nel momento in cui verranno trattate speciali tipologie di dati (salute etc.) e per trasferimenti verso paesi terzi o organizzazioni internazionali, in assenza di adeguate salvaguardie.

Il consenso si rende tale mediante dichiarazione scritta, modulo elettronico, scansione del documento firmato o tramite firma elettronica e non avrà limite temporale. Si deve tenere sempre presente che, gli interessati che consentono il trattamento dei dati personali hanno diritto alla revoca in un qualsiasi momento con conseguente cancellazione di dati e di qualsiasi attività su di essi.

Si informa inoltre che, i consensi ottenuti in data antecedente all’entrata in vigore della Normativa sulla Privacy si ritengono validi sempre nel rispetto delle conformità al GDPR, pur essendo, i requisiti di quasi tutte le informative e dei consensi al direct marketing e alla profilazione ai sensi della nuova normativa, diversi da quelli convalidati dal Garante nelle linee guida.

GVS81 ha un’area tecnica specializzata per la gestione della Privacy e nella stesura dei manuali ad hoc per ogni singola realtà aziendale.