GDPR, cos'è e come privacy dei cittadini europei tutela

I gestori di siti web devono adesso richiedere all'utente (anche vecchio) il consenso espresso al trattamento dei dati in una apposita schermata del sito.

GDPR, cos'è e come privacy dei citta

Come cambia il trattamento dei dati


Non c'è molto tempo da perdere perché il 25 maggio entra in vigore il regolamento europeo in materia di protezione dei dati personali. Ecco allora che imprese e soggetti pubblici devono conoscere i cambiamenti in materia privacy. In estrema sintesi, il GDPR (General Data Protection Regulation) prende il posto del Codice in materia di protezione dei dati personali. Le materie oggetto di attenzione sono allora quelle ben note dei dati personali, del loro trattamento, del consenso, del principio di responsabilizzazione, del responsabile del trattamento, della figura del data protection officer. Anticipiamo subito una novità che preoccupa un po' tutti i gestori di siti web: occorre richiedere all'utente il consenso espresso al trattamento dei dati in una apposita schermata del sito. E se sono già stati acquisiti è necessario richiedere di nuovo il consenso al trattamento.

Come cambia il trattamento dei dati

Per i dati cosiddetti sensibili il consenso deve essere esplicito. E lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati, compresa la profilazione. Non deve essere necessariamente documentato per iscritto né è richiesta la forma scritta, anche se questa è modalità idonea a configurare l'inequivocabilità del consenso e il suo essere esplicito. Di più: il titolare deve essere in grado di dimostrare che l'interessato ha prestato il consenso a uno specifico trattamento. Il consenso dei minori è valido a partire dai 16 anni. Orima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

Responsabile del trattamento

Il GDPR disciplina la contitolarità del trattamento e impone ai titolari di definire specificamente il rispettivo ambito di responsabilità e i compiti con particolare riguardo all'esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente. Di più: fissa le caratteristiche dell'atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti. Deve trattarsi di un contratto e disciplinare almeno le materie al fine di dimostrare che il responsabile fornisce garanzie sufficienti, in particolare natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento.

Prevede poi obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Riguarda in particolare

  1. la tenuta del registro dei trattamenti svolti;
  2. l'adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti;
  3. la designazione di un RPD-DPO, nei casi previsti dal regolamento o dal diritto nazionale.

Infine, consente la nomina di sub-responsabili del trattamento da parte di un responsabile per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario.