FN_96

GRAZIE ALL’INTERVENTO DI ALCUNI OSPITI ABBIAMO APPROFONDITO IL TEMA LEGATO AL NUOVO REGOLAMENTO GDPR (GENERAL DATA PROTECTION REGULATION) E ALLA SUA CONNESSIONE CON IL RISPETTO DELLA PROPRIETÀ INTELLETTUALE di Matteo Marino Fonte: www.pixabay.com Fieldbus & Networks l regolamento n.2016/679, meglio noto come Gdpr (General Data Protection Regulation), è il nuovo regolamento europeo in materia di protezione dei dati personali operativo dal 25maggio scorso e fa parte del ‘pacchetto protezione dati’ dell’Unione Europea, che introduce una serie di nuove garanzie per i cittadini europei rafforzandone altre e riordinando i precedenti provvedimenti in materia di privacy. Essendo un regolamento, interviene in modo diretto nelle legislazioni dei Paesi mem- bri. È valido infatti ovunque e non ha bisogno di leggi di recepimento, seb- bene necessiti di un lavoro di armonizzazione con le singole leggi statali per evitare fraintendimenti legislativi. Per cominciare…qualche nozione Il Gdpr riguarda persone, società e organizzazioni che raccolgono e ge- stiscono qualsiasi tipo di dato personale in Europa. Al dato personale, considerabile come qualsiasi informazione riguardante una persona fisica identificata o identificabile, la normativa aggiunge i dati di tipo genetico, biometrico e relativi alla salute. Inoltre, il consenso alla raccolta e al trattamento del dato da parte dell’utente deve essere fornito in forma chiara, con un atto positivo inequivocabile. Non è più possibile ottenere il consenso attraverso formulari precompilati o seguendo la regola del ‘silenzio assenso’. L’autorizzazione al consenso deve poi essere ‘spac- chettata’, cioè richiesta per ogni elaborazione che su quelle informazioni sarà effettuata. Per quanto riguarda l’accesso ai dati, la novità risiede nel fatto che gli utenti possono richiederne la rettifica o la cancellazione, così come un approfondimento delle informative sulle finalità e sulle tecniche di profilazione impiegate. L’art. 20 del Gdpr tratta della portabilità: la norma consente al soggetto di riutilizzare i dati che sono stati oggetto di trattamento, per altri scopi o su altre piattaforme. Questi dati devono dunque essere forniti al richiedente in un formato strutturato e di uso comune, leggibile da dispositivi automa- tici e interoperabile, cioè in modo tale che possa essere memorizzato su Tavola rotonda DATI PROTETTI A LIVELLO EUROPEO I un dispositivo personale ed eventualmente traslocato altrove. Per quanto concerne la notifica, l’art. 33 del regolamento dice che ogni violazione dei dati deve essere notificata agli interessati con una serie di informazioni specifiche entro 72 ore. Per quanto riguarda la sicurezza, le norme basilari si basano sulla pseudonimizzazione e la cifratura dei dati memorizzati; sono previsti inoltre altri obblighi in merito a riservatezza, integrità, dispo- nibilità e resilienza dei sistemi e dei servizi di trattamento. Per assicurare la responsabilità univoca del trattamento dei dati, in ogni organizzazione deve essere istituito un responsabile della protezione dei dati e del con- trollo. Il regolamento istituisce infatti la figura del Data Protection Officer, che deve garantire la messa in pratica delle diverse norme previste. Altro tema particolarmente delicato è quello del trattamento dei dati ri- guardanti i minori. L’art. 8 prevede che per offrire servizi ai minori di 16 anni sia necessaria un’autorizzazione da parte dei genitori o di un tutore. L’art. 17 riguarda, invece, il diritto all’oblio, che consiste in una sorta di cancellazione rafforzata dei propri dati prevista per determinate situa- zioni, per esempio quando non siano più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati, quando si revoca o ci si oppone al consenso e se non sussiste altro fondamento giuridico per il trattamento. La novità è che la richiesta inoltrata al primo soggetto che ha trattato i dati, comporta l’obbligo da parte di quest’ultimo di trasmetterla a tutti coloro che li utilizzano o li hanno utilizzati in seguito. Ultimo aspetto del Gdpr, non meno importante degli altri: le sanzioni. Le autorità di controllo possono condurre indagini, ottenere l’accesso alle informazioni e imporre limitazioni al trattamento, così come vietarlo o im- porre alcune azioni, tipo la cancellazione. Si inaspriscono poi le sanzioni amministrative pecuniarie, in quanto le multe possono arrivare fino a 10 milioni di euro o al 2% del volume d’affari globale in casi come la viola- zione delle condizioni applicabili al consenso dei minori in relazione ai ser- vizi della società dell’informazione, o alla mancata o errata notificazione e/o comunicazione di un data breach all’autorità nazionale competente. SETTEMBRE 2018 FIELDBUS & NETWORKS 64