Regolamento generale in materia di protezione dei dati personali: cosa cambierà per i consumatori?

Il CTCU: il bilanciamento degli interessi dei consumatori e delle imprese è sostanzialmente riuscito.

Il "Regolamento generale in materia di protezione dei dati personali - (2016/679) è un regolamento dell'Unione europea sulla protezione dei dati in tutti gli Stati membri. È stato annunciato due anni fa e vedrà piena applicazione dal 25 maggio 2018 in tutti gli Stati membri dell'UE. Per la prima volta sono state introdotte norme obbligatorie sulla protezione dei dati in un'unica legge per tutti gli Stati dell'UE.

Ecco le principali disposizioni in materia di protezione dei dati, le innovazioni più significative che riguarderanno i consumatori e le imprese e che sono stati aggiornati nel GDPR (Codice protezione dei dati personali n. 196/2003) o che sono di recente introduzione:


I principi del Regolamento europeo in materia di protezione dei dati personali
In linea di principio, i nostri dati personali non possono essere trattati! Le eccezioni sono consentite solo se sono necessarie alla stipula di un contratto, senza la quale lo stesso non potrebbe essere concluso. Una società di telecomunicazioni o un servizio di pubblica utilità ad esempio, necessitano di un indirizzo per inviare una fattura o per fornire l'energia. Un'altra eccezione si pone quando dobbiamo fornire il consenso all'elaborazione dei nostri dati, senza la quale non potremmo raggiungere lo scopo che ci siamo prefissati. Inoltre, l'autorizzazione potrebbe derivare anche da una legge, che permetta ad un ente di elaborare dati anche senza richiedere il consenso. Ad esempio, nell'ambito dei servizi sanitari o delle leggi fiscali.

Come deve essere un consenso valido?
Deve essere volontario ed esplicito. Ciò significa che non si deve essere sotto pressione. Un esempio potrebbe essere quello della stipula di un contratto di telefonia mobile estremamente conveniente, se, oltre ai dati assolutamente necessari per la stipula dello stesso, come nome, indirizzo e data di nascita, ci costringessero ad indicare altre informazioni come gli hobby o il nostro stato di salute. Il consenso espresso è valido solo se si può facilmente riconoscerlo come tale. Non è sufficiente né il cosiddetto “silenzio-assenso” e tantomeno una semplice casella spuntata. L'impresa può utilizzare solo i dati forniti dall'utente per lo scopo specificato. Nel caso in cui i dati vengano utilizzati diversamente, è necessario verificare in quale misura sono ancora coperti dal nostro consenso o se invece è necessario prestare un nuovo consenso.

Parsimonia e trasparenza
Un altro principio che tutte le aziende devono considerare è “l'economia” dei dati. Ciò significa che i dati che non sono più necessari devono essere eliminati immediatamente. E sopra ogni cosa vige il principio di trasparenza. Agli imprenditori è richiesto di descrivere esattamente quello che stanno facendo con i dati raccolti. Se, ad esempio, i dati devono essere trasmessi a terzi in una data successiva, la società deve informare sia al momento della raccolta dei dati che nel momento in cui avviene la divulgazione effettiva dei dati a terzi. A ciò si aggiunge l'obbligo delle società di documentare questo flusso di informazioni.

Cosa c'è di nuovo?
Il regolamento non si applica solo alle società con sede nell'UE. In futuro dipenderà dal luogo in cui un'azienda metterà sul mercato i propri beni o servizi. Ad esempio, una società con sede in Cina sarà soggetta alle stesse regole del GDPR se si rivolgerà a clienti all'interno dell'UE. Questo è chiamato il Principio del mercato ed è un'innovazione essenziale ed importante.
Il nuovo regolamento fornisce inoltre spiegazioni su termini specifici. Ad esempio, descrive ciò che è protetto, in particolare i dati puramente personali come il nome e il cognome, l'indirizzo e i dati di nascita, ma anche eventuali numeri identificativi, i dati sulla posizione e gli identificatori online. Si tratta di tutte quelle informazioni con le quali è possibile essere identificati. Nel Regolamento è descritto anche il cosiddetto profiling. Qui, le aziende utilizzano i dati per conoscere gli interessi personali dei clienti e per stimare il comportamento e i probabili interessi dei consumatori. Molte aziende utilizzano questo approccio per proporre pubblicità mirata. In futuro questo sarà permesso solo con il consenso esplicito degli interessati. Dovrebbe inoltre facilitare la trasmissione dei dati da un fornitore all'altro (portabilità dei dati). Ciò significa che in futuro i consumatori avranno il diritto di ricevere dati in un "formato comune" per il trasferimento diretto ad altre società. Tuttavia, in molte aree, non esistono attualmente standard che facilitino lo scambio di dati. Un'altra novità prevista dal Regolamento è quella che prevede che gli imprenditori debbano essere in grado di mostrare come gestiscono i dati dei clienti. Per fare questo, devono mantenere elenchi completi dai quali un'autorità può verificare ed evincere che quella determinata società si sta comportando in modo lecito.


Quali diritti hanno i consumatori?
I consumatori hanno il diritto di richiedere gratuitamente informazioni, se sospettano che un'azienda abbia elaborato dati che li riguardano. Qualora desiderino sapere esattamente di cosa si tratta o qualora sospettino che una società abbia archiviato in modo non autorizzato le loro informazioni personali, possono richiedere al titolare del trattamento dei dati personali della società o, se non disponibile, alla direzione o al direttivo, di conoscere quali sono i dati personali in loro possesso. In questo caso potrebbe rendersi necessario identificarsi, proprio per impedire a terzi di ottenere senza permesso informazioni sui propri dati, che sarebbe poi una violazione della privacy.


Cosa c'è di nuovo?

  • Le regole sull'informativa sulla privacy e il consenso sono definite più chiaramente. Le aziende non solo devono ottenere il consenso dei propri clienti per utilizzare i dati, ma devono anche spiegare esattamente come verranno trattati. Ad esempio, si dovrà distinguere se lo scopo del trattamento dei dati è il marketing, la profilazione, la geolocalizzazione o altro. Ogni finalità del trattamento dei dati implica quindi il proprio consenso (scritto e informato). L'approvazione al trattamento per scopi diversi con una singola firma non è quindi più possibile come in passato.
  • Linguaggio semplice e chiaro: chiunque elabori i nostri dati e ottenga il consenso, deve farlo in un linguaggio chiaro e comprensibile, senza alcun vocabolario tecnico o legale. Lo scopo è rendere la scheda informativa sulla protezione dei dati comprensibile per tutti. La scrittura non può essere eccessivamente piccola.
  • Il diritto di conoscere i propri dati: Il diritto all'informazione ora consente a tutti i consumatori di contattare l'azienda interessata e ottenere i dettagli dei dati che hanno (cosa, dove, come vengono elaborati, ecc.). Le aziende sono tenute a fornire informazioni e devono rispondere entro 30 giorni con lo stesso mezzo attraverso il quale sono stati contattati. La Guardia di Finanza ha istituito il “Nucleo Speciale Privacy”.
  • Diritto di recesso ("diritto all'oblio") e uso limitato dei dati: i consumatori possono richiedere la cancellazione o l'uso limitato dei propri dati. Anche il diritto all'oblio è stato esteso; c'è quindi la possibilità di essere rimosso da notizie e motori di ricerca, se il messaggio non è di pubblica utilità oppure alla persona è stato permesso a seguito di una sentenza.
  • I dati ora hanno una data di scadenza: ogni scheda informativa sulla protezione dei dati deve (in particolare per i dati sensibili) impostare un tempo massimo di elaborazione dei dati dopo il quale non possono più essere elaborati.
  • Maggiore protezione per i minori: in particolare, è necessario il consenso dei genitori, soprattutto per i minori di 16 anni, anche quando si tratta di Internet e dei social media.
  • Esistono criteri rigorosi per il furto o la perdita di dati.

Cosa rischiano le aziende?
In caso di violazione del regolamento, l'Autorità competente può imporre un'ammenda che può essere molto elevata e questo è mal digerito da molte aziende. Il Centro Tutela Consumatori Utenti può a sua volta indagare su eventuali violazioni nel campo della pubblicità, delle ricerche di mercato, nei confronti di agenzie di credito, della gestione di indirizzi o di profilazioni oppure in caso di utilizzo dei dati in altri campi e, se necessario, intraprendere azioni contro queste Società.


Le autorizzazioni al trattamento dei dati devono essere compilate e firmate ex novo?
No - il consenso al trattamento dei dati concesso fino all'entrata in vigore del regolamento rimane valido. Tuttavia, un'eventuale nuova elaborazione oppure la richiesta di un trattamento più ampio, richiede il consenso alle nuove condizioni del Regolamento.


Commento del Centro Tutela Consumatori Utenti
Il direttore del Centro Tutela Consumatori Utenti (CTCU), Walther Andreaus, ritiene che il bilanciamento degli interessi dei consumatori e degli interessi delle imprese nel regolamento generale sulla protezione dei dati sia stato di fondamentale importanza. "Queste regole non solo aiutano i consumatori a far rispettare i loro diritti, ma aggiungono anche valore reale alle imprese europee. Da un lato, vengono create condizioni uguali per tutti. D'altra parte, il passato mostra già che standard più elevati non devono necessariamente portare a meno innovazione e competitività. Alti standard possono invece creare maggiore sicurezza. Questa è una risorsa chiave, specialmente nel mondo digitale".

 

like-512_0.png

like-512_0.png

Top