Gdpr per le imprese

avvocato

Il GDPR 679/2016 nasce con l’esigenza di tutelare il diritto alla tutela dei dati personali di ogni individuo residente nell’UE a prescindere dalla propria nazionalità o dalla residenza.

Qual è l’oggetto e l’ambito di applicazione del GDPR 679/2016?

L’oggetto di tale regolamento è la protezione dei dati personali delle persone fisiche con riguardo precisamente al trattamento dei dati personali e la libera circolazione degli stessi all’interno e all’esterno, purché venga rispettato il diritto internazionale pubblico, del territorio dell’Unione Europea.

Lo stesso regolamento si applica a tutte le modalità di raccolta dei dati, che siano automatizzate o meno contenuti in un archivio o destinati a figurarvi.

Sono esclusi, invece, dall’ambito di applicazione del Regolamento tutti i casi in cui il trattamento dei dati personali riguardi:

  • Tutte le attività che non rientrano nell’ambito di applicazione del diritto dell’UE;
  • La politica estera e di sicurezza comune;
  • Le attività esclusivamente personali e domestiche effettuate da una persona fisica;
  • Le attività poste in essere da tutte le autorità che sono predisposte alla prevenzione delle minacce di sicurezza pubblica.

Cosa si intende per “dato personale”?

E’ lo stesso GDPR 679/2016 a fornirci la definizione di “dato personale”. Precisamente si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica culturale o sociale.

La definizione appena fornita ci fa ben comprendere come la sua ampiezza rende facilmente identificabile un soggetto al fine di tutelare i dati personali dello stesso.

Cosa deve tenere in considerazione un’impresa con il nuovo GDPR 679/2016?

Un’impresa deve tenere in considerazione che la raccolta dei dati personali dei propri clienti deve avvenire nel rispetto della nuova e recente normativa. I dati dei propri clienti dovranno essere trattati in modo lecito, trasparente e corretto. La loro raccolta dovrà essere effettuata per una finalità determinata, esplicita e legittima. Nelle operazioni di raccolta dei dati si deve tener presente il principio della c.d. minimizzazione dei dati secondo la quale dovranno essere detenuti in modo adeguato, pertinente e limitato alle finalità per le quali sono stati richiesti.

Da questo ne deriva che la conservazione degli stessi dovrà avvenire in una forma che consenta l’identificazione degli interessati per un arco temporale non superiore al conseguimento delle finalità dell’impresa. Infine, il trattamento deve avvenire in modo che se ne garantisca l’assoluta sicurezza.

Il trattamento c.d. lecito dei dati personali si verifica quando si realizza almeno una delle seguenti condizioni:

  1. L’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più finalità specifiche;
  2. Il trattamento è necessario per ottemperare ad un obbligo legale o per tutelare interessi vitali dell’interessato;
  3. Il trattamento è necessario per l’esecuzione di un contratto;
  4. Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri;
  5. Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi.

    La prima e la terza condizione sono sicuramente quelle più in linea con gli interessi che un’azienda può avere nei confronti dei propri clienti. Per ciò che concerne l’espresso consenso che l’interessato deve prestare per il trattamento dei propri dati, è importante che si tenga presente che all’art. 7 del GDPR 679/2016 dispone al primo comma che qualora il consenso sia basato sul consenso, il titolare del trattamento dei dati deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

    Si consiglia a tal fine la stesura di clausole chiare e precise in merito alla manifestazione del consenso dell’interessato così da evitare problematiche in futuro.

    Bisogna chiarire, inoltre, che l’interessato deve essere messo nelle condizioni di poter revocare il proprio consenso con la stessa facilità con la quale è stato prestato.

    Quali sono i diritti dell’interessato che devono essere tenuti presenti da un’impresa?

    L’interessato del trattamento dei propri dati personali, che nel caso di un’azienda e quasi sicuramente un cliente, ha dei diritti sugli stessi ben chiari ed individuabili che le imprese devono tenere necessariamente presenti. Il primo fra questi è quello della c.d.trasparenza. Ciascun titolare del trattamento dovrà assicurarsi che qualsiasi operazione che concerne la raccolta dei dati personali dovrà essere illustrata attraverso un linguaggio chiaro, semplice e, soprattutto, per iscritto. Questo primo diritto dell’interessato è strettamente collegato a quanto previsto dal codice del consumo in ordine al principio di trasparenza per il consumatore in considerazione della stessa matrice legislativa europea.

    Altro diritto dell’interessato è quello di accesso ai dati personali. Qualsiasi soggetto può chiedere che gli vengano fornite tutte le informazioni riguardanti i dati che il titolare del trattamento dati “tratta”. Un esempio di questo tipo di richiesta è quella presso il c.d. CRIF (il sistema di informazioni creditizie) che chiunque può effettuare per conoscere la propria situazione finanziaria legata ad eventuali rapporti attivi con istituti di credito o finanziarie (mutui, finanziamenti personali, ecc…). Tale richiesta è per le persone fisiche, ex art. 11 del GDPR 679/2016, gratuita.

    Ultimo, ma non per importanza, diritto in capo all’interessato è quello di rettifica, cancellazione o limitazione dell’utilizzo dei dati personali. In questa direzione è importante ricordare che l’eventuale richiesta dell’interessato dovrà ottenere una risposta dal titolare del trattamento che specifichi e dimostri l’avvenuta rettifica, cancellazione o limitazione dell’utilizzo dei dati personali.

    Fonte: diritto.it