Attenzione startup, il nuovo regolamento europeo sulla protezione dati personali si applica a tutte le imprese e quindi anche a voi, visto che molto spesso lavorate sul filo del rasoio in relazione alla raccolta e uso di dati, specialmente quelli personali. Una volta costituita, la startup (benchè innovativa) è soggetta a tutti gli obblighi di legge, compresi quelli sul trattamento dati personali, compresi i più banali come nome e email per iscrizione a una newsletter.
Lo scorso 4 maggio è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il nuovo “Regolamento relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” (il “Regolamento”) , è entrato in vigore il 24 maggio e a decorrere dal 25 maggio 2018, dovrà essere garantito (da parte degli Stati) il perfetto allineamento fra la normativa nazionale in materia di protezione dei dati e le disposizioni del Regolamento.
Il Regolamento abroga la Direttiva 95/46/CE (la “Direttiva Privacy”), attuata in Italia prima con la legge 675/96 e successivamente con il D.lgs. 196/2003, e si applicherà direttamente in tutti gli Stati Membri senza necessità di un intervento legislativo dei medesimi a tal fine.
Pertanto, le imprese che trattano dati personali avranno due anni per adeguarsi ad una nuova normativa che si inserisce su quella esistente, la quale, a meno che non sia oggetto di una specifica abrogazione, continuerà ad esistere ed essere applicabile.
Ambito di applicazione
Il Regolamento si applica a tutti i trattamenti che siano effettuati da un titolare stabilito nel territorio dell’Unione Europea, nonché da tutti i soggetti (titolari o responsabili) stabiliti fuori dall’Unione Europea nel caso in cui il trattamento abbia ad oggetto i dati personali di interessati che si trovano nell’Unione Europea e riguardi l’offerta di beni o servizi, indipendentemente dalla obbligatorietà del pagamento, o il monitoraggio di comportamenti che hanno luogo nell’Unione.
Si supera quindi il criterio dell’esistenza di “strumenti, automatizzati o non automatizzati” situati nell’Unione Europea attraverso il quale si stabiliva l’ambito di applicazione delle leggi nazionali (art. 4, par. 1, lett. c) della Direttiva Privacy).
Questo significa, dunque, che tutti gli operatori di siti o app che offrono beni o servizi nell’UE o funzionalità in grado di monitorare i comportamenti di navigazione o l’utilizzo di determinati servizi da parte di persone fisiche che si trovano nell’Unione Europea saranno soggetti al Regolamento indipendentemente dall’uso, da parte di questi operatori, di strumenti situati nell’Unione.
Alcune novità
Il Regolamento introduce anche una serie di obblighi nuovi per le imprese che trattano dati personali, in un’ottica di maggiore tutela per gli interessati. Vanno in questa direzione l’obbligo di protezione dei dati fin dalla progettazione (“Privacy by Design”) e di protezione per impostazione predefinita (“Privacy by Default”).
L’informativa e il consenso espresso dell’interessato restano i principi cardine per la protezione dei dati personali, se pure con alcune specificazioni: ad esempio, nel caso in cui esista un processo decisionale automatizzato che riguardi l’interessato (ad esempio in caso di profilazione) l’informativa dovrà contenere anche i dettagli sulla logica utilizzata e le conseguenze di tale trattamento per l’interessato.
Il Regolamento contiene previsioni sul diritto degli interessati di accesso e rettifica dei dati personali che li riguardano, e introduce nuovi diritti che non erano previsti espressamente dalla Direttiva – come, ad esempio:
- il diritto alla cancellazione (detto anche diritto all’oblio, e cioè ad ottenere che i dati siano cancellati senza ritardo se non sono più necessari per le finalità per i quali sono stati raccolti o trattati oppure in caso di revoca del consenso); e
- il diritto alla portabilità dei dati (vale a dire il diritto a ricevere i dati forniti a un titolare in un formato di uso comune e leggibile al fine di trasmetterli ad altro titolare senza impedimenti da parte del precedente titolare).
Originariamente pubblicato da Studio Portolano Cavallo
