Il GDPR

Il nuovo regolamento

Il Regolamento UE 679/2016, meglio conosciuto come GDPR (General Data Protection Regulation), costituisce la normativa comune europea in tema di trattamento dei dati personali. Entrato in vigore il 24 maggio 2016, la sua attuazione è stata posticipata al 25 maggio 2018, data a partire dalla quale ha cominciato a dispiegare i propri effetti. Professionisti e aziende hanno dunque il preciso obbligo giuridico di adeguarsi alla disciplina introdotta dal GDPR.

 

Le novità introdotte

Il testo normativo ha introdotto numerose novità in materia di privacy, rivoluzionando il paradigma fino a quel punto esistente. I legislatori europei hanno infatti improntato il GDPR secondo il principio dell’accountability (o responsabilizzazione), a norma del quale il titolare del trattamento dei dati personali deve dimostrare di aver adottato tutte le misure adeguate e sufficienti alla tutela dei dati degli interessati.

Inoltre, la privacy ha raggiunto lo status di vero e proprio diritto del singolo, dunque attivabile in qualsiasi momento e suscettibile di tutela da parte del giudice.

 

I principi generali

Al generale principio di responsabilizzazione, sopra citato, si aggiungono tre i principi generali che ogni titolare del trattamento deve rispettare nel maneggiare i dati personali degli interessati. Il primo è costituito dal principio di lealtà (fair processing), a norma del quale i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Il secondo è il principio del trattamento per finalità determinate (for specified purposes), le quali devono essere esplicite e legittime, oltre che adeguate pertinenti. Inoltre, la raccolta dei dati deve essere limitata a quanto necessario rispetto alle finalità per le quali sono stati collezionati. Il terzo è il principio del fondamento legittimo (legitimate basis), il quale implica che i dati possano essere raccolti e processati solo laddove previsto dalla legge o in caso di consenso della persona interessata. Inoltre, devono essere conservati in una forma che consenta l’identificazione dei titolari per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

 

I diritti dell’interessato

Per quanto riguarda l’interessato, sono quattro i principali diritti esercitabili nei confronti del titolare del trattamento. Il primo è il diritto di accesso ai dati e alla portabilità. Il secondo è il diritto a ottenere la loro rettifica, qualora necessario, e in maniera tempestiva, evitando pregiudizi per l’interessato. Il terzo è il diritto ad attivare e comunque ad affidarsi legittimamente al controllo di un’Autorità indipendente. Il quarto, e ultimo, è il diritto all’oblio. La tutela conferita al singolo è una tutela di tipo dinamico, destinata a seguire i dati nella loro circolazione. La novità fondamentale, rispetto alla disciplina previgente, è caratterizzata dal fatto che questo tipo di tutela non è appannaggio dei soli dati sensibili, come in passato, ma è ora estesa a tutti i dati personali così come definiti dal Regolamento.

Le sanzioni previste

Nel caso in cui siano violate le disposizioni riguardanti gli obblighi del titolare a norma degli articoli 8, 11, da 25 a 39, 42 e 43 GDPR; oppure gli obblighi dell’organismo di certificazione (articoli 42 e 43) o dell’organismo di controllo (articolo 41 paragrafo 4), l’autorità di controllo può comminare una sanzione amministrativa pecuniaria, “meno grave”, fino a 10.000.00 di euro o, per le imprese, fino al 2% del fatturato totale annuo dell’esercizio precedente, se superiore.

Le sanzioni “più gravi” sono previste, invece, qualora siano violati: le disposizioni inerenti i principi di base del trattamento, le condizioni del consenso e i diritti degli interessati; i trasferimenti di dati personali verso paesi terzi o verso un’organizzazione internazionale; qualsiasi obbligo imposto da uno stato membro a norma del Capo IX del Regolamento (“disposizioni relative a specifiche situazioni di trattamento”); oppure non siano stati osservati un ordine, una limitazione provvisoria o definitiva di trattamento o un ordine di sospensione del flusso di dati dell’autorità di controllo sulla base dell’articolo 58 paragrafo 2. Per queste violazioni sono prevista sanzioni pecuniarie più severe che possono raggiungere un ammontare pari a 20.000.000 di euro e fino al 4% del fatturato annuo precedente, se superiore.

Importante in materia di sanzioni è la nuova normativa italiana di raccordo, rappresentata dal D.Lgs. 101/2018. Il presente decreto ha infatti introdotto nuove sanzioni idonee e conformi alle disposizioni dettate dal Regolamento europeo 679/2016.

 

Qui il testo del Regolamento.

Il GDPR

Il Regolamento UE 679/2016, meglio conosciuto come GDPR (General Data Protection Regulation), costituisce la normativa comune europea in tema di trattamento dei dati personali. Entrato in vigore il 24 maggio 2016, la sua attuazione è stata posticipata al 25 maggio 2018, data a partire dalla quale ha cominciato a dispiegare i propri effetti. Professionisti e aziende hanno dunque il preciso obbligo giuridico di adeguarsi alla disciplina introdotta dal GDPR.

Le novità introdotte

Il testo normativo ha introdotto numerose novità in materia di privacy, rivoluzionando il paradigma fino a quel punto esistente. I legislatori europei hanno infatti improntato il GDPR secondo il principio dell’accountability (o responsabilizzazione), a norma del quale il titolare del trattamento dei dati personali deve dimostrare di aver adottato tutte le misure adeguate e sufficienti alla tutela dei dati degli interessati. Inoltre, la privacy ha raggiunto lo status di vero e proprio diritto del singolo, dunque attivabile in qualsiasi momento e suscettibile di tutela da parte del giudice.

I principi generali

Al generale principio di responsabilizzazione, sopra citato, si aggiungono tre i principi generali che ogni titolare del trattamento deve rispettare nel maneggiare i dati personali degli interessati. Il primo è costituito dal principio di lealtà (fair processing), a norma del quale i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Il secondo è il principio del trattamento per finalità determinate (for specified purposes), le quali devono essere esplicite e legittime, oltre che adeguate pertinenti. Inoltre, la raccolta dei dati deve essere limitata a quanto necessario rispetto alle finalità per le quali sono stati collezionati. Il terzo è il principio del fondamento legittimo (legitimate basis), il quale implica che i dati possano essere raccolti e processati solo laddove previsto dalla legge o in caso di consenso della persona interessata. Inoltre, devono essere conservati in una forma che consenta l’identificazione dei titolari per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

I diritti dell’interessato

Per quanto riguarda l’interessato, sono quattro i principali diritti esercitabili nei confronti del titolare del trattamento. Il primo è il diritto di accesso ai dati e alla portabilità.

Il secondo è il diritto a ottenere la loro rettifica, qualora necessario, e in maniera tempestiva, evitando pregiudizi per l’interessato. Il terzo è il diritto ad attivare e comunque ad affidarsi legittimamente al controllo di un’Autorità indipendente. Il quarto, e ultimo, è il diritto all’oblio. La tutela conferita al singolo è una tutela di tipo dinamico, destinata a seguire i dati nella loro circolazione. La novità fondamentale, rispetto alla disciplina previgente, è caratterizzata dal fatto che questo tipo di tutela non è appannaggio dei soli dati sensibili, come in passato, ma è ora estesa a tutti i dati personali così come definiti dal Regolamento.

Le sanzioni previste

Nel caso in cui siano violate le disposizioni riguardanti gli obblighi del titolare a norma degli articoli 8, 11, da 25 a 39, 42 e 43 GDPR; oppure gli obblighi dell’organismo di certificazione (articoli 42 e 43) o dell’organismo di controllo (articolo 41 paragrafo 4), l’autorità di controllo può comminare una sanzione amministrativa pecuniaria, “meno grave”, fino a 10.000.00 di euro o, per le imprese, fino al 2% del fatturato totale annuo dell’esercizio precedente, se superiore. Le sanzioni “più gravi” sono previste, invece, qualora siano violati: le disposizioni inerenti i principi di base del trattamento, le condizioni del consenso e i diritti degli interessati; i trasferimenti di dati personali verso paesi terzi o verso un’organizzazione internazionale; qualsiasi obbligo imposto da uno stato membro a norma del Capo IX del Regolamento (“disposizioni relative a specifiche situazioni di trattamento”); oppure non siano stati osservati un ordine, una limitazione provvisoria o definitiva di trattamento o un ordine di sospensione del flusso di dati dell’autorità di controllo sulla base dell’articolo 58 paragrafo 2. Per queste violazioni sono prevista sanzioni pecuniarie più severe che possono raggiungere un ammontare pari a 20.000.000 di euro e fino al 4% del fatturato annuo precedente, se superiore. Importante in materia di sanzioni è la nuova normativa italiana di raccordo, rappresentata dal D.Lgs. 101/2018. Il presente decreto ha infatti introdotto nuove sanzioni idonee e conformi alle disposizioni dettate dal Regolamento europeo 679/2016.

 

 

Il GDPR

Il Regolamento UE 679/2016, meglio conosciuto come GDPR (General Data Protection Regulation), costituisce la normativa comune europea in tema di trattamento dei dati personali. Entrato in vigore il 24 maggio 2016, la sua attuazione è stata posticipata al 25 maggio 2018, data a partire dalla quale ha cominciato a dispiegare i propri effetti. Professionisti e aziende hanno dunque il preciso obbligo giuridico di adeguarsi alla disciplina introdotta dal GDPR.

Le novità introdotte

Il testo normativo ha introdotto numerose novità in materia di privacy, rivoluzionando il paradigma fino a quel punto esistente. I legislatori europei hanno infatti improntato il GDPR secondo il principio dell’accountability (o responsabilizzazione), a norma del quale il titolare del trattamento dei dati personali deve dimostrare di aver adottato tutte le misure adeguate e sufficienti alla tutela dei dati degli interessati. Inoltre, la privacy ha raggiunto lo status di vero e proprio diritto del singolo, dunque attivabile in qualsiasi momento e suscettibile di tutela da parte del giudice.

I principi generali

Al generale principio di responsabilizzazione, sopra citato, si aggiungono tre i principi generali che ogni titolare del trattamento deve rispettare nel maneggiare i dati personali degli interessati. Il primo è costituito dal principio di lealtà (fair processing), a norma del quale i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Il secondo è il principio del trattamento per finalità determinate (for specified purposes), le quali devono essere esplicite e legittime, oltre che adeguate pertinenti. Inoltre, la raccolta dei dati deve essere limitata a quanto necessario rispetto alle finalità per le quali sono stati collezionati. Il terzo è il principio del fondamento legittimo (legitimate basis), il quale implica che i dati possano essere raccolti e processati solo laddove previsto dalla legge o in caso di consenso della persona interessata. Inoltre, devono essere conservati in una forma che consenta l’identificazione dei titolari per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

I diritti dell’interessato

Per quanto riguarda l’interessato, sono quattro i principali diritti esercitabili nei confronti del titolare del trattamento. Il primo è il diritto di accesso ai dati e alla portabilità.

Il secondo è il diritto a ottenere la loro rettifica, qualora necessario, e in maniera tempestiva, evitando pregiudizi per l’interessato. Il terzo è il diritto ad attivare e comunque ad affidarsi legittimamente al controllo di un’Autorità indipendente. Il quarto, e ultimo, è il diritto all’oblio. La tutela conferita al singolo è una tutela di tipo dinamico, destinata a seguire i dati nella loro circolazione. La novità fondamentale, rispetto alla disciplina previgente, è caratterizzata dal fatto che questo tipo di tutela non è appannaggio dei soli dati sensibili, come in passato, ma è ora estesa a tutti i dati personali così come definiti dal Regolamento.

Le sanzioni previste

Nel caso in cui siano violate le disposizioni riguardanti gli obblighi del titolare a norma degli articoli 8, 11, da 25 a 39, 42 e 43 GDPR; oppure gli obblighi dell’organismo di certificazione (articoli 42 e 43) o dell’organismo di controllo (articolo 41 paragrafo 4), l’autorità di controllo può comminare una sanzione amministrativa pecuniaria, “meno grave”, fino a 10.000.00 di euro o, per le imprese, fino al 2% del fatturato totale annuo dell’esercizio precedente, se superiore. Le sanzioni “più gravi” sono previste, invece, qualora siano violati: le disposizioni inerenti i principi di base del trattamento, le condizioni del consenso e i diritti degli interessati; i trasferimenti di dati personali verso paesi terzi o verso un’organizzazione internazionale; qualsiasi obbligo imposto da uno stato membro a norma del Capo IX del Regolamento (“disposizioni relative a specifiche situazioni di trattamento”); oppure non siano stati osservati un ordine, una limitazione provvisoria o definitiva di trattamento o un ordine di sospensione del flusso di dati dell’autorità di controllo sulla base dell’articolo 58 paragrafo 2. Per queste violazioni sono prevista sanzioni pecuniarie più severe che possono raggiungere un ammontare pari a 20.000.000 di euro e fino al 4% del fatturato annuo precedente, se superiore. Importante in materia di sanzioni è la nuova normativa italiana di raccordo, rappresentata dal D.Lgs. 101/2018. Il presente decreto ha infatti introdotto nuove sanzioni idonee e conformi alle disposizioni dettate dal Regolamento europeo 679/2016.

 

 

Scarica qui il testo del Regolamento Europeo GDPR