Il 25 maggio entra in vigore il Regolamento generale in materia di protezione dei dati personali
Annunciato due anni fa, il "Regolamento" vedrà piena applicazione dal 25 maggio 2018 in tutti gli Stati membri dell'UE.
TRENTO. In linea di principio, per il Regolamento i dati personali non possono essere trattati. Le eccezioni sono consentite solo se sono necessarie alla stipula di un contratto. Una società di telecomunicazioni o un servizio di pubblica utilità ad esempio, necessitano di un indirizzo per inviare una fattura o per fornire l'energia.
Un'altra eccezione si pone quando dobbiamo fornire il consenso all'elaborazione dei nostri dati, senza la quale non potremmo raggiungere lo scopo che ci siamo prefissati. Ad esempio, nell'ambito dei servizi sanitari o delle leggi fiscali.
Il consenso da parte del consumatore deve essere volontario ed esplicito. Non è sufficiente né il cosiddetto “silenzio-assenso” né tantomeno una semplice casella spuntata. L'impresa può utilizzare solo i dati forniti dall'utente per lo scopo specificato. Nel caso in cui i dati vengano utilizzati diversamente, è necessario verificare in quale misura sono ancora coperti dal nostro consenso o se invece è necessario prestare un nuovo consenso.
Un altro principio che tutte le aziende devono considerare è “l'economia” dei dati. Ciò significa che i dati che non sono più necessari devono essere eliminati immediatamente. E sopra ogni cosa vige il principio di trasparenza. Agli imprenditori è richiesto di descrivere esattamente quello che stanno facendo con i dati raccolti. Se, ad esempio, i dati devono essere trasmessi a terzi in una data successiva, la società deve informare sia al momento della raccolta dei dati che nel momento in cui avviene la divulgazione effettiva dei dati a terzi. A ciò si aggiunge l'obbligo delle società di documentare questo flusso di informazioni.
Il Regolamento non si applica solo alle società con sede nell'UE, ma anche, ad esempio, una società con sede in Cina sarà soggetta alle stesse regole del GDPR se si rivolgerà a clienti all'interno dell'UE. Questo è chiamato il Principio del mercato ed è un'innovazione essenziale ed importante. Il nuovo regolamento fornisce inoltre spiegazioni su termini specifici. Ad esempio, descrive ciò che è protetto, in particolare i dati puramente personali come il nome e il cognome, l'indirizzo e i dati di nascita, ma anche eventuali numeri identificativi, i dati sulla posizione e gli identificatori online. Si tratta di tutte quelle informazioni con le quali è possibile essere identificati.
Nel Regolamento è descritto anche il cosiddetto profiling. Qui, le aziende utilizzano i dati per conoscere gli interessi personali dei clienti e per stimare il comportamento e i probabili interessi dei consumatori. Molte aziende utilizzano questo approccio per proporre pubblicità mirata. In futuro questo sarà permesso solo con il consenso esplicito degli interessati.
Un'altra novità prevista dal Regolamento è quella che prevede che gli imprenditori debbano essere in grado di mostrare come gestiscono i dati dei clienti. Per fare questo, devono mantenere elenchi completi dai quali un'autorità può verificare ed evincere che quella determinata società si sta comportando in modo lecito.
I consumatori, dal canto loro, hanno il diritto di richiedere gratuitamente informazioni, se sospettano che un'azienda abbia elaborato dati che li riguardano.
Chiunque elabori i nostri dati e ottenga il consenso, deve farlo in un linguaggio chiaro e comprensibile, senza alcun vocabolario tecnico o legale. Lo scopo è rendere la scheda informativa sulla protezione dei dati comprensibile per tutti. La scrittura non può essere eccessivamente piccola.
Per quanto concerne il diritto di recesso ("diritto all'oblio") e uso limitato dei dati, i consumatori possono richiedere la cancellazione o l'uso limitato dei propri dati. Anche il diritto all'oblio è stato esteso; c'è quindi la possibilità di essere rimosso da notizie e motori di ricerca, se il messaggio non è di pubblica utilità oppure alla persona è stato permesso a seguito di una sentenza. I dati ora avranno anche una data di scadenza: ogni scheda informativa sulla protezione dei dati deve (in particolare per i dati sensibili) impostare un tempo massimo di elaborazione dei dati dopo il quale non possono più essere elaborati.
Per quanto riguarda i minori, è necessario il consenso dei genitori, soprattutto per i minori di 16 anni, anche quando si tratta di Internet e dei social media.
