Ambito di applicazione
Il Regolamento europeo si applica agli stati membri dell’UE e non richiede leggi di recepimento. Inoltre si applica ai titolari e ai responsabili stabiliti fuori dall’UE nei seguenti casi:
- quando il trattamento dati riguarda l’offerta di beni e servizi a persone fisiche che si trovano nell’UE;
- quando viene svolta attività di monitoraggio sul comportamento di persone fisiche che si trovano nell’UE.
Maggiori responsabilità per i titolari e per i responsabili
Introduzione del principio dell’”Accountability” (artt. 24-32): viene richiesto ai titolari e ai responsabili di mettere in atto le misure tecniche e organizzative, per garantire e dimostrare la conformità al GDPR. La conformità ai requisiti di sicurezza, può essere dimostrata tramite l’adesione ai codici di condotta o a un meccanismo di certificazione. La certificazione deve essere rilasciata da un ente autorizzato o dalla Autorità di controllo competente.
Al fine di garantire e dimostrare la conformità al Regolamento europeo è prevista inoltre la tenuta di un registro da parte del titolare e del responsabile su cui devono essere riportate le attività di trattamento dati (finalità del trattamento, eventuali comunicazioni a terzi, descrizione generale delle misure tecniche, termini per la cancellazione).
Introduzione dell’obbligo di notifica da parte del titolare all’Autorità Garante in caso di violazioni di dati personali (data breach): in caso di rischi elevati, al fine di evitare che l’evento dannoso possa essere ampliato, l’obbligo di notifica si estende anche ai soggetti interessati. La notifica deve avvenire entro 72 ore dal momento in cui l’Autorità ne viene a conoscenza, in caso di ritardo ne deve essere data motivazione (artt.33-34).
Maggiori diritti per l’interessato
Obblighi di trasparenza (artt: 5-12):
l’informativa per l’interessato deve essere coincisa, facilmente accessibile e comprensibile e deve essere rilasciata in forma scritta. La forma orale è ammessa quando è richiesta dall’interessato e l’identità di questi possa essere provata con altri mezzi.
Il consenso al trattamento deve essere libero, informato e inequivocabile. Per trattare i dati sensibili, il Regolamento europeo prevede che il consenso deve essere anche “esplicito”. Viene esclusa ogni forma di consenso tacito.
Gli interessati devono conoscere e ottenere comunicazioni sulle attività di trattamento dati e di verificarne la liceità.
Introduzione di una disciplina più severa in materia di cookies, in coerenza con la direttiva 2009/136/CE che li riguarda.
I visitatori dei siti web devono essere informati della possibilità di revocare il consenso a determinati trattamenti informatizzati, come quelli esercitati allo scopo di promuovere iniziative commerciali. In questi casi l’informativa deve essere sempre posta in evidenza, il consenso deve essere esplicito, l’interessato ha diritto di opporsi in qualsiasi momento, per motivi connessi al contesto particolare (art. 25).
Gli interessati devono conoscere se i loro dati sono trasmessi al di fuori dell’Ue e con quali garanzie. Il trasferimento di dati verso paesi terzi può avvenire soltanto se il titolare del trattamento e il responsabile rispettano le condizioni previste dal GDPR (art. 44-50).
Introduzione del diritto all’oblio (art.17): l’interessato, per motivi legittimi può richiedere la cancellazione dei propri dati in possesso di terzi o il loro trasferimento. In particolare, l’interessato ha diritto di chiedere che siano cancellati: i dati personali che non siano più necessari per le finalità per le quali sono stati raccolti, quando abbia revocato il consenso e non sussista alcun motivo di trattamento o si sia opposto al trattamento o il trattamento dei dati personali non sia conforme al Regolamento europeo. Sono previste alcune eccezioni, ad esempio, nei casi in cui il trattamento sia necessario per l’esercizio del diritto alla libertà di espressione e di informazione o per l’adempimento di un obbligo legale.
Introduzione del diritto alla portabilità dei dati personali (artt. 13-20), applicabile nel caso di trattamento dati automatizzato. L’Interessato può esigere dal titolare di un servizio online di ricevere, in un formato compatibile con altri sistemi di altri fornitori, i dati che lo riguardano al fine di poterli trasferire agevolmente a un altro titolare e di accrescere la concorrenza tra le imprese.
Introduzione del principio one stop shop (artt. 60-70): presuppone che, nel caso in cui il titolare del trattamento o il responsabile è stabilito in più sedi, oppure se il trattamento riguarda cittadini appartenenti ai diversi stati membri, venga individuata come Autorità capofila, quella in cui ha sede lo stabilimento principale, dove per “stabilimento principale”(art. 4 c. 16) si intende il luogo in cui sono adottate le principali decisioni su finalità, condizioni e mezzi del trattamento dei dati personali.
A questo proposito è stato istituito uno Sportello Unico per segnalare eventuali violazioni, qualunque sia il luogo in cui il trattamento viene effettuato.
Introduzione di maggiori garanzie per i minori in merito all’utilizzo di servizi offerti dalla società dell’informazione (art. 8). In questi casi è previsto l’innalzamento dell’età minima consentita per la creazione di un profilo social da 13 a 16 anni. Tuttavia, i singoli stati dell’UE possono stabilire per legge un’età inferiore a 16 anni e comunque mai al di sotto del limite di 13. In questo caso il trattamento è lecito soltanto se è espresso o autorizzato dalla potestà genitoriale. In Italia al momento l'”accesso” senza il consenso dei genitori è fissato a 13 anni.