Il 25 maggio 2018 è entrato in vigore il nuovo Regolamento
Ue 2016/679 sulla privacy che interessa anche i coltivatori diretti e gli
imprenditori agricoli che nell’esercizio dell’attività imprenditoriale – e
nella qualità di titolari - trattano dati personali (di persone fisiche). In
particolare si introducono regole più chiare e semplici in materia di
informativa e consenso, puntando a garantire maggiori tutele per i cittadini in
maniera omogenea in tutta l’Unione, sebbene ogni Stato possa integrare i
contenuti del regolamento. In Italia questo ruolo sarà ancora gestito dal
Garante della Privacy. Vediamo quali sono le novità.
I casi più frequenti di trattamento dati in azienda
Un esempio è il Trattamento dei dati personali dei
dipendenti e dei collaboratori (anche stagionali o occasionali) a cui sono
richiesti i seguenti dati: cognome e nome – indirizzo – codice fiscale – data e
luogo di nascita – telefono ed altri dati per gli adempimenti fiscali ed INPS;
Ma le nuove regole si applicano anche al Trattamento dei dati personali per i
fornitori a cui sono richiesti i seguenti dati: ragione sociale o cognome e
nome – indirizzo – codice fiscale – telefono – partita IVA – ed altri previsti
dagli adempimenti fiscali. E molte aziende agricole svolgono anche attività di
Trattamento dei dati personali dei clienti a cui sono richiesti i seguenti
dati: ragione sociale o cognome e nome – indirizzo – codice fiscale – partita
IVA – telefono e altri dati per gli adempimenti fiscali, e nel caso di
agriturismo per gli adempimenti derivanti dal Testo Unico delle Leggi di
Pubblica Sicurezza (TULPS).
Cosa prevede il nuovo regolamento
Vengono stabiliti nuovi limiti al trattamento automatizzato
dei dati personali e criteri rigorosi per il trasferimento dei dati al di fuori
dell’UE. Entra in vigore l’obbligo di segnalazione per i casi di violazione dei
dati personali (data breach). Significativi cambiamenti riguardano
l’informativa ed il consenso. L’informativa va resa in forma concisa,
trasparente, intellegibile, facilmente accessibile e con un linguaggio semplice
e chiaro; le informazioni saranno fornite per iscritto o con altri mezzi (anche
in formato elettronico) e, se richiesto dall’interessato, è fornita anche
oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.
Per quanto attiene il consenso, è valida qualsiasi manifestazione di volontà
libera, specifica, informata e inequivocabile con la quale l’interessato
accetta, con dichiarazione o azione positiva inequivocabile, che i dati
personali che lo riguardano siano oggetto di trattamento. Viene esclusa ogni
forma di consenso tacito oppure raccolto attraverso la presentazione di opzioni
già selezionate. Il consenso potrà essere revocato in ogni momento. Il
trattamento effettuato fino a quel momento dal titolare sulla base del consenso
rimane comunque legittimo.
Viene introdotto il cosiddetto «diritto all’oblio»: il
diritto da parte di un interessato ad ottenere la cancellazione dei propri dati
personali, anche on line, da parte del titolare del trattamento, qualora
ricorrano alcune condizioni previste dal Regolamento: i dati sono trattati solo
sulla base del consenso; se i dati non sono più necessari per gli scopi
rispetto ai quali sono stati raccolti; se i dati sono trattati illecitamente;
oppure se l’interessato si oppone legittimamente al loro trattamento. Il
diritto all’oblio può essere limitato solo in alcuni casi specifici: per
esempio, per garantire l’esercizio della libertà di espressione o il diritto
alla difesa in sede giudiziaria; per tutelare un interesse generale (ad
esempio, la salute pubblica); oppure quando i dati, resi anonimi, sono
necessari per la ricerca storica o per finalità statistiche o scientifiche. Il
nuovo regolamento introduce la portabilità dei dati per favorire una maggiore
fluidità del mercato digitale.
Tra le possibilità che il regolamento permette c’è il
trasferimento dei dati da un titolare del trattamento ad un altro, si potrà
cambiare il provider di posta elettronica senza perdere i contatti ed i
messaggi salvati, salvaguardando il diritto di essere totalmente dimenticato da
chi ha raccolto i dati inizialmente. Più garanzie per i minori: i fornitori di
servizi Internet ed i social media, dovranno richiedere il consenso ai genitori
o a chi esercita la potestà genitoriale per trattare i dati personali dei
minori di 16 anni. Saranno necessarie valutazioni d’impatto sulla protezione
dei dati, o Privacy Impact Assessment in caso di trattamenti rischiosi e
verifiche preliminari per diverse circostanze da parte del Garante. Si supera,
peraltro, la prassi di notificazione all’autorità, con notevole semplificazione
per le attività d’impresa plurinazionali.
Il Data Protection Officer, abbreviato in DPO (tradotto
Responsabile della Protezione dei Dati), rappresenta una nuova figura nel
panorama italiano che verrà introdotta dal nuovo Regolamento UE 679. Con il
nuovo Regolamento, imprese ed enti avranno più responsabilità, ma potranno
beneficiare di semplificazioni ed in caso di inosservanza delle regole saranno
previste sanzioni, anche elevate. È importante studiare tempestivamente
l’impatto dell’applicazione del nuovo Regolamento sulla propria realtà
lavorativa.
Nessun commento:
Posta un commento