Si applica il nuovo GDPR!

Si applica la legge sulla protezione dei dati più severa dell'UE. La Rappresentanza della Commissione europea in Germania ha raccolto domande e risposte frequenti.

Quali sono i vantaggi del nuovo GDPR?

La riforma prevede che i cittadini abbiano un maggiore controllo sui propri dati personali. Le nuove norme garantiscono che le aziende e le istituzioni debbano dire esattamente per quale scopo vogliono i dati. Per i cittadini, questo regolamento comporta diversi vantaggi:

• Il "Diritto all'oblioSe un cittadino non vuole che i suoi dati siano trattati, i dati devono essere cancellati se non c'è un motivo legittimo per conservarli. Si tratta esclusivamente di proteggere la privacy; non è prevista la cancellazione di eventi passati o la limitazione della libertà di stampa.

• Accesso ai propri dati: I cittadini sono più informati sulle modalità di trattamento dei loro dati. Queste informazioni devono essere chiare e comprensibili. A Diritto alla portabilità dei dati rende più facile per i cittadini trasferire i dati personali tra diversi fornitori.

• Il diritto di sapere se i propri dati sono stati violatiLe aziende e le organizzazioni devono notificare alle autorità di vigilanza nazionali tutte le violazioni dei dati che hanno creato un rischio per l'interessato. Inoltre, l'interessato deve essere informato di tutte le violazioni ad alto rischio il prima possibile, in modo da poter reagire di conseguenza.

• Protezione dei dati grazie alla tecnologia e alle impostazioni predefinite che ne favoriscono la protezioneLa "privacy by design" e la "privacy by default" sono ormai elementi essenziali delle norme UE sulla protezione dei dati. Le tutele per la privacy vengono integrate nello sviluppo di prodotti e servizi fin dalle prime fasi e le impostazioni predefinite che rispettano la privacy stanno diventando la norma, ad esempio nei social network o nelle applicazioni mobili.

I cambiamenti più importanti per le aziende?

Il nuovo GDPR si basa sulle norme della direttiva sulla protezione dei dati in vigore da oltre 20 anni. I principi fondamentali della protezione dei dati non vengono modificati, ma aggiornati e modernizzati. L'innovazione decisiva è che una legge europea uniforme sulla protezione dei dati sostituisce ora le varie leggi degli Stati membri. Dalle 28 leggi diverse verrà creato un regolamento comune sulla protezione dei dati. Verrà così creato un insieme di regole uniformi e chiare per le imprese e le autorità, rendendo più facile e meno costoso fare affari in tutta l'UE.

Il "One-Stop-Shop" creerà anche un punto di contatto centrale per le imprese. Le aziende dovranno quindi rivolgersi a un'unica autorità e non a 28 autorità. Ciò garantirà la necessaria certezza giuridica per le attività commerciali. Le aziende beneficeranno di decisioni più rapide, di un unico punto di contatto (eliminazione di più punti di contatto) e di una minore burocrazia. Inoltre, possono contare su decisioni uniformi per le stesse attività di trattamento in diversi Stati membri.

Le nuove norme sulla protezione dei dati si applicano a tutte le aziende, indipendentemente dalla loro sede. Ciò significa che le aziende con sede al di fuori dell'Europa devono seguire le stesse regole se offrono beni o servizi nell'UE.

Burocrazia inutile?

Il Regolamento generale sulla protezione dei dati elimina gli ostacoli alla crescita a livello europeo, soprattutto per le piccole imprese. Ad esempio, vengono abolite formalità come gli obblighi di notifica generale, che erano comuni in molti Stati membri. In futuro ci sarà un unico regime di protezione dei dati in tutta l'UE, con un unico punto di contatto e un'interpretazione uniforme delle norme. Ne beneficeranno anche le piccole e medie imprese che offrono i loro prodotti o servizi in altri Stati membri. Non hanno più bisogno di assumere un avvocato per adeguarsi alle normative locali.

Chiunque sia in regola con le norme della direttiva sulla protezione dei dati attualmente in vigore non dovrebbe avere troppe difficoltà con l'attuazione del regolamento generale sulla protezione dei dati. I principi di base non sono cambiati.

Quali sono le eccezioni per le aziende più piccole?

Il Regolamento generale sulla protezione dei dati ha deliberatamente ridotto gli obblighi per le aziende più piccole. Se un'azienda di piccole dimensioni non è principalmente attiva nel trattamento dei dati personali, non deve nominare un responsabile della protezione dei dati, ad esempio, e non deve preparare una valutazione dettagliata dell'impatto sulla protezione dei dati. Di norma, tali aziende sono tenute a documentare il trattamento dei dati se li trattano regolarmente e a metterli a disposizione dell'autorità di protezione dei dati su richiesta. Tuttavia, in questo caso sarà sufficiente un semplice elenco di una pagina.

Ad esempio, un'azienda artigiana che memorizza le informazioni sui propri dipendenti o clienti solo per i propri scopi e non le rivende, deve fondamentalmente garantire la sicurezza di questi dati. Un piccolo panificio non ha bisogno di una valutazione d'impatto sulla protezione dei dati.

Il GDPR è in conflitto con altre leggi sul trattamento dei dati?

In linea di principio, non ci sono conflitti. Il GDPR prevede clausole specifiche per il trattamento dei dati personali, ove necessario, e non impedisce alle aziende di adempiere ai propri obblighi legali.

Al contrario, se la legislazione nazionale o europea impone ai datori di lavoro l'obbligo legale di trattare i dati, ciò è legittimo ai sensi del Regolamento sulla protezione dei dati. L'importante è che in questi casi il dipendente sia informato in modo chiaro e completo sul trattamento dei suoi dati.

Chi è responsabile di perseguire le violazioni del regolamento sulla protezione dei dati? Come si può garantire un'applicazione uniforme nei singoli Stati membri?

In futuro, non ci sarà solo una regolamentazione uniforme della protezione dei dati in tutta Europa, ma anche una cooperazione molto più stretta tra le autorità di controllo nazionali. Nel nuovo Comitato europeo per la protezione dei dati, di cui fanno parte i responsabili delle autorità nazionali per la protezione dei dati, l'applicazione uniforme sarà monitorata regolarmente.

Il GDPR introduce anche il cosiddetto meccanismo dello "sportello unico", che garantisce la cooperazione tra le autorità di protezione dei dati quando le attività di un'azienda comportano operazioni di trattamento dei dati in diversi Stati membri. Esiste un unico punto di contatto per l'azienda e un'interpretazione uniforme delle norme da parte della massima autorità di vigilanza dello Stato membro in cui si trova lo stabilimento principale dell'azienda.

A quali sanzioni andranno incontro le aziende che violano le nuove norme sulla protezione dei dati?

Le autorità di protezione dei dati hanno il potere di sanzionare le violazioni delle disposizioni in materia di protezione dei dati. Possono adottare misure correttive o imporre multe. Tuttavia, la decisione sulle ammende deve sempre essere proporzionata e tenere conto di tutte le circostanze del singolo caso. Le sanzioni sono proporzionali alle dimensioni dell'organizzazione. Chi non applica i requisiti del Regolamento sulla protezione dei dati rischia multe pari al quattro per cento del fatturato annuo. Ciò garantisce che anche le aziende globali e i giganti di Internet abbiano interesse a rispettare le regole.

Le aziende devono aspettarsi delle multe se non riescono a implementare tutti i requisiti?

In linea di principio, non esiste un periodo di grazia. Dopo un periodo di transizione di due anni, il regolamento entrerà in vigore il 25 maggio 2018. Le aziende hanno quindi avuto due anni per prepararsi alle nuove regole. Tuttavia, le autorità nazionali presteranno certamente attenzione alla proporzionalità delle sanzioni.
Ci sono criteri chiari: Se un'azienda collabora o il numero di persone interessate è gestibile, non deve temere sanzioni draconiane. Se, invece, un'azienda nasconde una fuga di dati e fa poco per risolverla, le autorità faranno sul serio.

Strumenti: 7 passi per le aziende

In particolare per le imprese, la Commissione ha elaborato una Guida pubblicato anche in tedesco sul web, in cui vengono date risposte alle domande più importanti. C'è anche una panoramica "Sette passi per le aziende per prepararsi al Regolamento generale sulla protezione dei dati".

Per ulteriori informazioni di base qui

Fonte: Commissione europea, Rappresentanza della Germania