Dal 25 maggio 2018 entrerà in vigore il nuovo Regolamento europeo sulla protezione dei dati personali. Si tratta del GDPR, ovvero General Data Protection Regulation. Obiettivo del regolamento è tutelare maggiormente la privacy dei cittadini dei Paesi membri dell’Unione Europea. A tale scopo, le imprese dovranno seguire nuove indicazioni ogni volta che chiedono agli utenti il consenso al trattamento dei dati personali.
Chi deve adeguarsi al nuovo regolamento?
Sono chiamate ad adeguarsi al nuovo regolamento europeo tutte le aziende – pubbliche e private – che raccolgono e analizzano dati degli utenti: banche, compagnie di assicurazioni, operatori telefonici, pubblica amministrazione, aziende del lusso, startup, aziende medie o piccole.
Cosa deve contenere l’informativa privacy?
Con l’entrata in vigore del nuovo Regolamento europeo l’utente avrà garantito il diritto a ricevere un’informazione corretta e trasparente sull’utilizzo che verrà fatto dei dati che rilascia a un’impresa. In quest’ottica, un aspetto importante riguarda il rilascio del consenso al trattamento dei dati personali. Dal prossimo 25 maggio le imprese dovranno indicare nell’informativa sulla privacy con quali finalità richiedono il trattamento di questi dati, quali sono i diritti che hanno gli utenti per tutelarsi e in che modo possono esercitare questi diritti. Se l’informativa sulla privacy non contiene queste indicazioni, il consenso non è considerato valido. Sempre nell’informativa sulla privacy dovranno inoltre essere precisati: il diritto dell’utente di presentare reclamo all’autorità di controllo, il periodo di conservazione dei dati, i dati identificativi del Data Protection Officer (Dpo), vale a dire il soggetto che all’interno dell’azienda a cui ci si rivolge per un servizio ha il compito di garantire la tutela della privacy attraverso la verifica della corretta applicazione del Regolamento e la formazione del personale.
Quando è valida la richiesta di consenso?
In base al nuovo regolamento, l’utente dovrà fornire il proprio consenso per ogni singolo utilizzo che le imprese intendono fare dei suoi dati. Inoltre, dovrà rispondere in modo affermativo a ogni richiesta specifica. Con l’introduzione di queste regole le imprese non potranno più avvalersi di formule poco chiare per ottenere il consenso da parte dell’utente, come ad esempio “si dichiara di aver letto la privacy policy” o “continuando la navigazione o facendo scroll col mouse”, né potranno mascherare la richiesta del consenso tra le condizioni contrattuali.
Ci sono altri “nuovi” diritti per i consumatori?
L’utente dovrà poter ritirare il consenso al trattamento dei suoi dati personali con la stessa facilità con cui l’ha dato. In pratica, se ha dato il consenso con un semplice click, dovrà poterlo ritirare seguendo lo stesso passaggio. Il nuovo regolamento europeo riconosce all’utente anche il diritto alla portabilità dei dati, in base al quale potrà chiedere e ottenere copia dei dati forniti a un’impresa in modo da poterli poi presentare a un’altra impresa. Si tratta di una norma pensata per permettere all’utente di “passare” con più facilità da un servizio online a un altro. È previsto anche il diritto alla cancellazione dei dati personali. L’utente potrà avvalersi di questo diritto nei seguenti casi: se ritiene che i suoi dati non siano più necessari rispetto alle finalità per le quali sono stati raccolti o trattati; quando revoca il consenso; se si oppone al trattamento; se ritiene che non vi sono più legittimi motivi per continuare il trattamento; se i suoi dati sono stati trattati illecitamente.
Il consenso privacy consentirà l’invio di pubblicità?
Altro aspetto importante riguarda la separazione netta tra la richiesta del consenso al trattamento dei dati personali e la richiesta di invio di materiale pubblicitario. Le due richieste devono essere separate e non possono essere presentate precompilate.
Quali sanzioni per le aziende che non rispettano il regolamento?
Le sanzioni in caso di mancato adeguamento al nuovo regolamento europeo sono le seguenti: fino a 20 milioni di euro o il 4% del fatturato globale. Facebook, ad esempio, ha provato a correre ai ripari pubblicando una guida per spiegare agli utenti come devono gestire le loro impostazioni di privacy e i dati che hanno fornito al social network.
Cosa succede in Italia?
Lo scorso 5 febbraio in Italia è entrata in vigore la norma sulle chiamate indesiderate (Legge 11 gennaio 2018 n. 5 sulle “nuove disposizioni in materia di iscrizione e funzionamento del registro delle opposizioni e istituzione di prefissi nazionali per le chiamate telefoniche a scopo statistico, promozionale e di ricerche di mercato”). Anche se si attendono ancora i decreti di attuazione, si pone già il problema della compatibilità tra questa legge e il regolamento europeo sulla privacy. In attesa di delucidazioni, uno strumento utile è stato messo a disposizione dal Garante per la protezione dei dati personali che ha pubblicato sul proprio sito una guida all’applicazione del regolamento europeo.
Su privacy e sicurezza dei dati leggi anche Lo scandalo Facebook e la sicurezza dei nostri dati
Autore: Rocco Bellantone
