21
Nov
E’ possibile che affidare a chi tratti i dati la valutazione del rischio renda di fatto più difficile la contestazione di un eventuale inadempimento? Quali diritti restano in capo ai clienti?
Il regolamento generale sulla protezione dei dati, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, inizierà ad avere efficacia il 25 maggio 2018.
Il principio cardine del nuovo regolamento è costituito dall’autodeterminazione informativa, un concetto ben noto in Germania dove la Corte Costituzionale ha dichiarato che è una condizione necessaria per il libero sviluppo della personalità del cittadino nonché elemento essenziale di una società democratica.
Le nuove norme prevedono, in sintesi:
– un più facile accesso per i cittadini alle informazioni riguardanti i loro dati e le finalità e modalità di trattamento degli stessi;
– un diritto alla portabilità dei dati che consentirà di trasferire i dati personali tra i vari servizi online;
– l’istituzionalizzazione del diritto all’oblio (denominato diritto alla cancellazione nel regolamento) come previsto dalla Corte di Giustizia europea, che consentirà di chiedere ed ottenere la rimozione dei dati quando viene meno l’interesse pubblico alla notizia;
– l’obbligo di notifica da parte delle aziende delle gravi violazioni dei dati dei cittadini;
– le aziende dovranno rispondere alla sola autorità di vigilanza dello Stato nel quale hanno la sede principale (principio dello “sportello unico”);
– multe fino al 4% del fatturato globale delle aziende in caso di violazioni delle norme.
A parere di chi scrive, l’approccio del GDPR, più centrato sulla protezione dei dati invece che sull’utente, rappresenta in un certo modo un passo indietro rispetto alla precedente normativa. Si tratta infatti di un approccio basato sulla valutazione del rischio, con il quale si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti.
Un approccio risk based ha l’evidente vantaggio di pretendere degli obblighi che possono andare oltre la mera conformità alla legge, è sicuramente più flessibile e adattabile al mutare delle esigenze e degli strumenti tecnologici, ma delega all’azienda la valutazione del rischio, rendendo più difficili le contestazioni in caso di violazioni.
Inoltre, questo approccio considera più rischioso il trattamento dei dati di un minore rispetto a quelli di un adulto, e pone maggiore attenzione al trattamento di una grande mole di dati, laddove è pacifico che anche il trattamento di pochi dati può comportare un danno per i singoli. E’, pertanto, un approccio che tiene in maggiore considerazione le esigenze delle aziende, rendendo meno burocratica la gestione dei dati, con l’evidente effetto che aziende di minori dimensioni avranno minori obblighi, essendo questi parametrati anche all’organizzazione della stessa.
In sintesi, il regolamento enfatizza molto la responsabilizzazione (accountability) del titolare e dei responsabili del trattamento, che si deve concretizzare nell’adozione di comportamenti proattivi a dimostrazione della concreta (e non meramente formale) adozione del regolamento.
Il Garante della Privacy ha pubblicato una Guida che offre un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento. Sono presenti raccomandazione specifiche e suggerite azioni, oltre a segnalare le principali novità, in vista della preparazione all’attuazione del nuovo regolamento.
Contributo tratto da www.diritto.net di Lorenza Morello
Giurista d’impresa – Morello Consulting
Giurista d’impresa – Morello Consulting
Trackbacks and pingbacks
No trackback or pingback available for this article.
Per qualsiasi domanda, compila il form
[contact_form name="contact-form"]Ultime notizie
03Oct
Leave a reply