GDPR PER LE IMPRESE

Il GDPR 679/2016 nasce con l’esigenza di tutelare il diritto alla tutela dei dati personali di ogni individuo residente nell’UE a prescindere dalla propria nazionalità o dalla residenza.

Qual è l’oggetto e l’ambito di applicazione del GDPR 679/2016?

L’oggetto di tale regolamento è la protezione dei dati personali delle persone fisiche con riguardo precisamente a:

  • Trattamento dei dati personali;
  • Libera circolazioni di tali dati all’interno dell’UE e all’esterno purché venga rispettato il diritto internazionale pubblico.

Lo stesso regolamento si applica a tutte le modalità di raccolta dei dati, che siano automatizzate o meno.

Sono, invece, esclusi dall’ambito di applicazione del Regolamento tutti i casi in cui il trattamento dei dati personali riguardi:

  • Tutte le attività che non rientrano nell’ambito di applicazione del diritto dell’UE;
  • La politica estera e di sicurezza comune;
  • Le attività esclusivamente personali e domestiche effettuate da una persona fisica;
  • Le attività poste in essere da tutte le autorità che sono predisposte alla prevenzione delle minacce di sicurezza pubblica.

Cosa si intende per “dato personale”?

 E’ lo stesso GDPR 679/2016 a fornirci la definizione di “dato personale”. Precisamente si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica culturale o sociale.

La definizione appena fornita ci fa ben comprendere come la sua ampiezza rende facilmente identificabile un soggetto al fine di tutelare i dati personali dello stesso.

Cosa deve tenere in considerazione un’impresa con il nuovo GDPR 679/2016? 

Un’impresa deve tenere in considerazione che la raccolta dei dati personali dei propri clienti deve avvenire nel rispetto della nuova e recente normativa.

Per questo i dati personali dei propri clienti devono essere:

  • Trattati in modo lecito, trasparente e corretto;
  • Raccolti per finalità determinate, esplicite e legittime. Successivamente a tale utilizzo devono essere trattati in modo compatibile con tali finalità;
  • Raccolti in modo adeguato, pertinente e limitato per le finalità stabilite, c.d. minimizzazione dei dati;
  • Esatti e, se necessario, modificati a tal fine;
  • Conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento della finalità per i quali sono trattati;
  • Trattati in una maniera che consenta adeguata sicurezza.

Il trattamento c.d. lecito dei dati personali si verifica quando si realizza almeno una delle seguenti condizioni:

  1. L’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più finalità specifiche;
  2. Il trattamento è necessario per ottemperare ad un obbligo legale o per tutelare interessi vitali dell’interessato;
  3. Il trattamento è necessario per l’esecuzione di un contratto;
  4. Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri;
  5. Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi.

Il primo e il terzo punto sono sicuramente quelli più in linea con gli interessi che un’azienda può avere nei confronti dei propri clienti. Per ciò che concerne l’espresso consenso che l’interessato deve prestare per il trattamento dei propri dati, è importante che si tenga presente che l’art. 7 del GDPR 679/2016 dispone al primo comma che qualora il consenso sia basato sul consenso, il titolare del trattamento dei dati deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

Consigliamo a tal fine la stesura di clausole chiare e precise in merito alla manifestazione del consenso dell’interessato cosi da evitare problematiche in futuro.

Bisogna, inoltre, chiarire che l’interessato deve essere messo nelle condizioni di poter revocare il proprio consenso con la stessa facilità con la quale è stato prestato.

Quali sono i diritti dell’interessato che devono essere tenuti presenti da un’impresa?

L’interessato del trattamento dei propri dati personali, che nel caso di un’azienda e quasi sicuramente un cliente, ha dei diritti sugli stessi ben chiari ed individuabili che le imprese devono tenere necessariamente presenti:

  • Trasparenza à La trasparenza per ciò che concerne la raccolta di dati personali l’azienda riguarda soprattutto il fatto che questa dovrà esprimere con linguaggio semplice e chiaro, e per iscritto, tutto quello che riguarda tale attività. Da segnalare a tal punto l’importanza di tale principio anche per ciò che concerne il diritto dei consumatori;
  • Informazione e accesso ai dati personali à L’interessato può, in qualsiasi momento, chiedere informazioni e l’accesso ai dati personali forniti.

Rettifica, cancellazione o limitazione dell’utilizzo dei dati personali à Rettifica e cancellazione o limitazione dell’utilizzo dei dati personali rientrano dei diritti che l’interessato ha nei confronti dell’impresa che detiene i propri dati. Ciò che va tenuto presente con assoluta importanza è che qualora l’interessato chieda che i propri dati vengano rettificati, cancellati o limitati nell’utilizzo, l’azienda dovrà necessariamente notificare al cliente l’avvenuta rettifica, cancellazione o limitazione dei dati.