Utilizziamo i cookie per abilitare e migliorare le funzionalita' del sito web, servire contenuti per voi piu' pertinenti. E' possibile rivedere la nostra privacy policy cliccando qui e la nostra cookie policy cliccando qui.
Se chiudi questo avviso, acconsenti all'utilizzo dei cookie. Per modificare le impostazioni dei cookies clicca qui



ultimo aggiornamento 22/11/2024 ore 18:04


  Home   Produzione  Distribuzione  Servizi alle filiere 
contattacifeed rssfacebookyoutubelinkedin

pagina precedente

27 Novembre 2013
Legge sulla privacy, cosa cambierà per le imprese

scarica foto
Legge sulla privacy, cosa cambierà per le imprese

Un'unica legge europea unificherà le riforme della privacy che dal 1995 ad oggi si sono susseguite trovando applicazioni diverse in ciascuno dei 27 Stati membri dell'UE. L'obiettivo è quello di mettere ordine nella regolamentazione del trattamento dei dati alla luce dei cambiamenti causati da Internet e dallo sviluppo sempre maggiore dell'informazione: social network, shopping on-line, servizi di e-banking.

Il pacchetto di riforme ha recentemente ricevuto il via libera del Parlamento Europeo che in data 21 ottobre 2013 ha dato mandato al gruppo che se ne è occupato di negoziare con il Consiglio di Europa la sua forma definitiva. L'approvazione del testo, programmata per il maggio del 2014, secondo il Financial Times slitterà al 2015 per intervento del premier inglese David Cameron.

I progetti che sono alla base del pacchetto riforma sono due:
- la stesura di un regolamento generale che riguarda la maggior parte dei trattamenti dei dati personali nell'Unione Europea e che sarà valido in tutti gli Stati membri;
- l'approvazione di una direttiva per l'applicazione di sanzioni penali, che dovrà essere recepita dai singoli Stati.

Rispetto a quanto inizialmente prospettato dalla Commissione, il lavoro della Commissione Libertà Civili del Parlamento Europeo ha apportato alcune modifiche alla bozza di regolamento.

Ecco una panoramica di alcune delle principali proposte per le Imprese:
Art. 35 - Responsabile della protezione dei dati (Data protection officer)
Istituzioni pubbliche e società che trattano dati di oltre 5mila persone in un anno e organizzazioni la cui atttività principale comporta il trattamento di dati sensibili o il monitoraggio sistematico di persone sono tenute a nominare un responsabile della protezione dei dati (RDP in italiano, DPO in inglese), per almeno 4 anni nel caso di dipendenti e per almeno 2 anni nel caso di un affidamento esterno.
Art 79 - Sanzioni

Di fronte alla violazione delle regole, l'autorità nazionale garante per la protezione dei dati può intervenire con:
• un avvertimento scritto, in caso di violazioni meno gravi;
• un audit (verifica) periodico in merito alla protezione dei dati;
• una multa fino a 100 milioni di euro o al 5% del fatturato annuo a livello mondiale per le imprese, a seconda del maggiore dei due.
I fattori aggravanti sono la durata della violazione, l'eventuale negligenza o ripetitività, la volontà di cooperare e l'ammontare dei danni causati.

Art 17 - Diritto alla cancellazione
Chiunque ha il diritto di ottenere la cancellazione dei propri dati personali quando:
• il trattamento dei dati non è conforme alle norme UE
• i dati non sono più necessari per gli scopi per cui erano stati raccolti
• la persona nega o ritira il suo consenso al trattamento dei suoi dati personali.
Nel caso specifico, se una persona chiedesse ad una società operante su Internet di cancellare i suoi dati, l'azienda dovrebbe anche inoltrare la richiesta di cancellazione alle aziende "collegate" che replicano i dati di tale persona.
Il diritto alla cancellazione è limitato solo in alcuni casi: quando i dati sono necessari per scopi di ricerca storica, statistica e scientifica, per motivi di salute pubblica o per esercitare il diritto alla libertà di espressione; oppure, quando la conservazione dei dati personali è necessaria per adempiere ad un contratto o è richiesta dalla legge .

Art 7 - Consenso esplicito
Una società può trattare dati personali solo dopo aver ottenuto l'esplicita autorizzazione da parte dell'interessato, che può ritirare il suo consenso in qualsiasi momento. L'esecuzione di un contratto o la fornitura di un servizio non può essere subordinato al consenso al trattamento dei dati personali che non siano strettamente necessari per il completamento del contratto o del servizio stesso. Inoltre, il consenso perde il suo effetto non appena il trattamento dei dati personali non è più necessario per lo scopo iniziale per cui sono stati raccolti. Ritirare il consenso deve essere facile così come darlo.

Art 11 - Informativa chiara e semplice
Il linguaggio con cui le persone vengono informate del trattamento dei loro dati nell'atto del consenso deve essere chiaro, conciso e semplice. Quando si raccolgono dati personali, il titolare deve spiegare alla persona se i suoi dati personali saranno trasferiti a terzi per finalità commerciali, se saranno venduti, affittati o criptati .

Art 20 - Profilazione
La profilazione è una tecnica utilizzata per analizzare e prevedere, ad esempio, le azioni di una persona sul posto di lavoro, la sua situazione economica, la posizione, la salute, le preferenze, abitudini e scelte di consumo, l'affidabilità o, in genereale, il suo comportamento attraverso meccanismi più o meno automatizzati di trattamento dei dati personali.
La profilazione (profiling), come regola generale, è consentita solo con il consenso della persona interessata , ove consentito dalla legge o quando necessario per perseguire un contratto. L'analisi non dovrebbe dar luogo a discriminazioni o essere basata esclusivamente su dati sensibili (cioè dati che rivelano l'origine etnica, le opinioni politiche e religiose, l'orientamento sessuale, e che comprendono i dati genetici o biometrici, o informazioni su sanzioni amministrative o reati penali), nè dovrebbe basarsi unicamente su un trattamento automatizzato, ma dovrebbe comprendere una valutazione umana, adeguatamente documentata e che spieghi le motivazioni di ogni decisione presa.
Questo potrebbe ad esempio influenzare il modo con cui sono compilati gli archivi in merito al rischio sulla solvibilità degli individui.

Art 18 - Portabilità dei dati
Il titolare del trattamento dovrebbe poter fornire una copia dei dati di ciascun utente "in formato elettronico interoperabile". Qualora questo articolo venisse approvato, qualsiasi persona potrebbe richiedere ad un provider di servizi e-mail o ad un social network di ricevere una copia di tutti i suoi dati in formato elettronico standard, in modo da poterli trasferire ad un altro fornitore o servizio: ciò consentirebbe agli utenti di cambiare provider di posta elettronica, senza perdere i contatti o messaggi di posta elettronica precedenti.
Art 43 bis - Trasferimenti di dati verso paesi non UE
Se un paese terzo chiede ad un'impresa (ad esempio un motore di ricerca, social network o provider di cloud) di divulgare dati personali trattati nell'ambito della UE, tale impresa dovrebbe ottenere il permesso da parte dell'autorità nazionale garante per la protezione dei dati e dovrebbe informare le persone interessate prima di trasferire i dati.
Art 54bis - Diritto al reclamo
Le persone i cui dati personali sono trattati da un titolare (ad esempio, una società che opera su Internet) che ha sede in un altro Stato membro dell'Unione Europea, devono poter presentare un reclamo tanto al garante per la protezione dei dati del proprio Paese, quanto all'autorità del paese in cui la società ha la propria base. Questa doppia possibilità garantisce ai cittadini una più facile presentazione delle denunce nella propria lingua madre.
Sportello unico e meccanismo di coerenza
Un'innovazione fondamentale del regolamento è che si stabilisce un'unica autorità competente per tutte le attività di trattamento di un titolare con sede nell'UE: l'autorità garante del paese in cui il titolare ha la sua sede principale svolgerà il ruolo principale quando si tratta di prendere misure nei confronti di tale titolare, ancorchè le altre autorità garanti coinvolte saranno consultate (ad esempio quella del paese il cittadino presenti una denuncia). In caso di disaccordo, ci sarà un "meccanismo di coerenza", in cui sarà coinvolto il Comitato europeo per la protezione dei dati (un organo che coordinerà le diverse autorità nazionali). Tutto questo avrà un impatto sulla vigilanza delle grandi aziende che operano in Internet con sedi in diversi paesi dell'UE.
Fonte:
Fox & Parker Srl
www.fox-parker.it
  © 2009/2024 MERCATO TOTALE Srls - P.I. 13237220960 Home Page | Contattaci | Newsletter | Privacy policy | Cookie policy   
Testata giornalistica registrata presso il Tribunale di Torino, n.8 dell'11/02/2021 Powered by www.webarea.it