Nuovo Regolamento europeo sulla tutela dei dati personali

Il Garante per la protezione dei dati personali, ha pubblicato una prima guida informativa sul nuovo Regolamento UE 2016/679 del 27 aprile 2016 sulla protezione dei dati personali e sulla loro libera circolazione.

Nella stessa data del 27 aprile il Parlamento europeo ha approvato anche la Direttiva 2016/680 sulla protezione dei dati personali in riferimento al trattamento effettuato da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.

Vengono contestualmente abrogate la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) e la decisione quadro 2008/977/GAI

Il Regolamento 2016/679 introduce regole piè chiare in materia di informativa e consenso;  definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti inoltre stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati personali (data breach):

In particolare evidenziamo che:

• Il consenso dell’interessato al trattamento dei dati personali dovrà essere preventivo e inequivocabile, anche quando espresso attraverso mezzi elettronici. Ad esempio, selezionando un’apposita casella in un sito web.
• Per trattare i dati sensibili, il Regolamento prevede che il consenso deve essere anche «esplicito». Viene pertanto esclusa ogni forma di consenso tacito (il silenzio, cioè, non equivale al consenso);
• Le decisioni che producono effetti giuridici (come, la concessione di un prestito) non potranno essere basate esclusivamente sul trattamento automatizzato dei dati (ad esempio, la profilazione). Salvo il caso in cui l’interessato abbia rilasciato un consenso esplicito al trattamento automatizzato dei suoi dati, oppure questo tipo di trattamento risulti strettamente necessario per la definizione di un contratto o avvenga in base a specifici obblighi di legge;
• Se il trattamento è finalizzato ad attività di marketing diretto, l’interessato ha sempre il diritto di opporsi alla profilazione;
• Circa il «diritto all’oblio», gli interessati potranno ottenere la cancellazione dei propri dati personali anche on line. Ad esempio se i dati non sono piè necessari per gli scopi rispetto ai quali sono stati raccolti; se i dati sono trattati illecitamente; oppure se l’interessato si oppone legittimamente al loro trattamento. Con alcune eccezioni (ad esempio, per garantire l’esercizio della libertà di espressione o il diritto alla difesa in sede giudiziaria; per tutelare un interesse generale -come, ad esempio, la salute pubblica-; oppure quando i dati, resi anonimi, sono necessari per la ricerca storica o per finalità statistiche o scientifiche).
• Resta vietato il trasferimento di dati personali verso Paesi situati al di fuori dell’Unione europea o organizzazioni internazionali che non rispondono agli standard di adeguatezza in materia di tutela dei dati;
• Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali (data breach) all’Autorità nazionale di protezione dei dati. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.

Il Regolamento è direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione europea e non richiede una legge di recepimento nazionale. inoltre, si applica integralmente alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione europea. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le regole fissate nell’Ue

Per consultare la guida clicca qui

Per consultare il Regolamento 2016/679 clicca qui

Per consultare la Direttiva 2016/680 clicca qui