Forlì, 16/05/2018
Con la privacy non si scherza.
Per prevenire e tutelare i milioni di utenti i cui dati, quasi quotidianamente vengono scambiati su internet, ma anche aliunde, per motivi commerciali, informativi, di marketing ma anche facendone l’oggetto di vere e proprie truffe, l’Unione Europea ha approvato nuove regole per proteggere meglio la privacy dei cittadini e queste regole entreranno in vigore il 25 maggio 2018.
A partire da quel giorno tutti i soggetti a cui abbiamo comunicato i nostri dati personali saranno chiamati a migliorare il modo in cui li trattano e li conservano grazie ad un insieme di regole più trasparenti e semplici in materia di informativa e consenso, regole che definiscono i limiti al trattamento automatizzato dei dati personali, e stabiliscono criteri e sanzioni in caso di violazioni.
Sanzioni che appaiono davvero ingenti per non dire spropositate.
L’utilizzazione dei dati personali
Viene introdotto il diritto a ricevere informazioni molto più precise su chi, effettivamente utilizzerà i dati (il c.d. titolare del trattamento), quali dati verranno utilizzati e con quale finalità, imponendo che già nella informativa consegnata all’interessato del trattamento venga utilizzato un linguaggio trasparente, chiaro e preciso, e non termini tecnici e giuridici che spesso risultano di difficile comprensione.
Si introduce poi il diritto ad accedere a questi dati ogni volta che lo si richieda, a chiederne la modifica, la limitazione all’utilizzo o addirittura la cancellazione.
A tutti capita, quotidianamente, di ricevere mail e comunicazioni indesiderate a parte di terzi e sarà proprio in questi casi che si potrà chiedere all’azienda che le manda, quali nostri dati personali possieda, con quale finalità li utilizzi, come li abbia ottenuti e da chi.
Si introduce poi anche il diritto di trasferire i propri dati direttamente a un altro fornitore di servizi nel caso in cui si decida di passare da una piattaforma ad un’altra (c.d. portabilità dei dati personali), con il contestuale diritto di riceverli, anche in formato digitale, dal precedente titolare del trattamento.
Diritto alla cancellazione dei propri dati personali.
Il Regolamento UE 2016/679 introduce anche il c.d. diritto all’oblio ovvero la possibilità per l’interessato al trattamento di richiedere la cancellazione di tutte le informazioni personali in possesso a una determinata azienda, nel caso non si voglia più che li utilizzi.
Ciò varrà anche nei confronti, ad esempio dei motori di ricerca su internet cui ogni interessato, purchè non sia un personaggio pubblico, avrà il diritto di chiedere ed ottenere la modifica, la rettifica e finaco la cancellazione di propri dati personali.
Peraltro, viene previsto che in caso di furto o di perdita dei dati, la società che ha subito il furto o la trafugazione degli stessi dovrà darne immediata notizia all’interessato, pena, in difetto, una sanzione in danno dell’azienda che abbia perduto o abbia subito il furto dei dati personali conservati.
E’ il c.d. principio di accountability, che statuisce l’obbligo in capo ad aziende e/o enti che conservano i dati personali di clienti/utenti/fruitori di dimostrare un comportamento proattivo nella loro salvaguardia.
Il registro delle attività di trattamento.
Ciascun titolare del trattamento, responsabile del trattamento, se diverso, (e anche il proprio rappresentante) dal 25.5.2018 dovranno tenere anche un registro c.d. delle attività di trattamento svolte sotto la propria responsabilità.
Tale registro conterrà:
a) Il nome e cognome del titolare del trattamento del co-‐titolare del trattamento (e del rappresentante titolare del trattamento se nominato) e i suoi dati ed estremi identificativi, oltre i suoi dati di contatto;
b) La finalità del trattamento;
c) La descrizione delle categorie di interessati e delle categorie di dati personali;
d) Le categorie di destinatari a cui i dati sono stati o saranno comunicati, compresi organizzazioni internazionali e Paesi terzi;
e) I termini ultimi per la cancellazione dei dati (ove possibile);
f) Una descrizione delle misure di sicurezza e organizzative adottate (ove possibile).
Il registro, a semplice richiesta, va posto a disposizione dell’autorità di controllo di cui agli artt. Da 51 a 59 Reg. UE 679 del 2016.
Non viene specificato dalla norma se il registro debba essere conservato in forma cartacea o anche su supporto informatico, ma proprio il silenzio della normativa sul punto induce a ragionevolmente ritenere che il titolare del trattamento, il responsabile del trattamento se diverso e il loro eventuale rappresentante possano indifferentemente adottare, a loro piacimento, la modalità cartacea o quella elettronica.
Forlì, lì 13 Maggio 2018
Avv. Matteo Pavanetto