Il 25 maggio in vigore le nuove regole sulla privacy. Ecco cosa cambia

In questi giorni navigare su internet significa scontrarsi con finestre che si aprono all’improvviso o link che rimandano alle condizioni per la gestione dati da accettare. Non è un caso: il 25 maggio entra in vigore il Regolamento generale in materia di protezione dei dati personali – (2016/679) dell’Unione europea. Per la prima volta sono state introdotte norme obbligatorie sulla protezione dei dati in un’unica legge per tutti gli Stati dell’UE. Il Centro tutela consumatori utenti (Ctcu) di Bolzano spiega le principali innovazioni del nuovo regolamento.

Solo quelli necessari

In linea di principio, i nostri dati personali non possono essere trattati- scrive il Ctcu – Le eccezioni sono consentite solo se sono necessarie alla stipula di un contratto, senza la quale lo stesso non potrebbe essere concluso. Una società di telecomunicazioni o un servizio di pubblica utilità ad esempio, necessitano di un indirizzo per inviare una fattura o per fornire l’energia. Un’altra eccezione si pone quando dobbiamo fornire il consenso all’elaborazione dei nostri dati, senza la quale non potremmo raggiungere lo scopo che ci siamo prefissati. Inoltre, l’autorizzazione potrebbe derivare anche da una legge, che permetta ad un ente di elaborare dati anche senza richiedere il consenso. Ad esempio, nell’ambito dei servizi sanitari o delle leggi fiscali.

Quando il consenso è valido

Deve essere volontario ed esplicito. Ciò significa che non si deve essere sotto pressione. Un esempio potrebbe essere quello della stipula di un contratto di telefonia mobile estremamente conveniente, se, oltre ai dati assolutamente necessari per la stipula dello stesso, come nome, indirizzo e data di nascita, ci costringessero ad indicare altre informazioni come gli hobby o il nostro stato di salute. Il consenso espresso è valido solo se si può facilmente riconoscerlo come tale. Non è sufficiente né il cosiddetto “silenzio-assenso” e tantomeno una semplice casella spuntata. L’impresa può utilizzare solo i dati forniti dall’utente per lo scopo specificato. Nel caso in cui i dati vengano utilizzati diversamente, è necessario verificare in quale misura sono ancora coperti dal nostro consenso o se invece è necessario prestare un nuovo consenso.

 

Cosa c’è di nuovo?

  • Le regole sull’informativa sulla privacy e il consenso sono definite più chiaramente. Le aziende non solo devono ottenere il consenso dei propri clienti per utilizzare i dati, ma devono anche spiegare esattamente come verranno trattati. Ad esempio, si dovrà distinguere se lo scopo del trattamento dei dati è il marketing, la profilazione, la geolocalizzazione o altro. Ogni finalità del trattamento dei dati implica quindi il proprio consenso (scritto e informato). L’approvazione al trattamento per scopi diversi con una singola firma non è quindi più possibile come in passato.
  • Linguaggio semplice e chiaro: chiunque elabori i nostri dati e ottenga il consenso, deve farlo in un linguaggio chiaro e comprensibile, senza alcun vocabolario tecnico o legale. Lo scopo è rendere la scheda informativa sulla protezione dei dati comprensibile per tutti. La scrittura non può essere eccessivamente piccola.
  • Il diritto di conoscere i propri dati: Il diritto all’informazione ora consente a tutti i consumatori di contattare l’azienda interessata e ottenere i dettagli dei dati che hanno (cosa, dove, come vengono elaborati, ecc.). Le aziende sono tenute a fornire informazioni e devono rispondere entro 30 giorni con lo stesso mezzo attraverso il quale sono stati contattati. La Guardia di Finanza ha istituito il “Nucleo Speciale Privacy”.
  • Diritto di recesso (“diritto all’oblio”) e uso limitato dei dati: i consumatori possono richiedere la cancellazione o l’uso limitato dei propri dati. Anche il diritto all’oblio è stato esteso; c’è quindi la possibilità di essere rimosso da notizie e motori di ricerca, se il messaggio non è di pubblica utilità oppure alla persona è stato permesso a seguito di una sentenza.
  • I dati ora hanno una data di scadenza: ogni scheda informativa sulla protezione dei dati deve (in particolare per i dati sensibili) impostare un tempo massimo di elaborazione dei dati dopo il quale non possono più essere elaborati.
  • Maggiore protezione per i minori: in particolare, è necessario il consenso dei genitori, soprattutto per i minori di 16 anni, anche quando si tratta di Internet e dei social media.
  • Esistono criteri rigorosi per il furto o la perdita di dati.

Cosa rischiano le aziende?

In caso di violazione del regolamento, l’Autorità competente può imporre un’ammenda che può essere molto elevata e questo è mal digerito da molte aziende. Ma le autorizzazioni al trattamento dei dati non devono essere compilate e firmate ex novo. il consenso al trattamento dei dati concesso fino all’entrata in vigore del regolamento rimane valido. Tuttavia, un’eventuale nuova elaborazione oppure la richiesta di un trattamento più ampio, richiede il consenso alle nuove condizioni del Regolamento.