Il nuovo regolamento UE sulla privacy: principi generali per il trattamento dei dati personali

Il Regolamento generale sulla protezione dei dati (GDPR) entrerà in vigore, in tutti i paesi dell’UE, a partire dal 25 maggio 2018. Riguarderà le imprese che operano nel mercato europeo e garantirà ai cittadini dell'UE un elevato livello di protezione dei dati personali.

I principi cui dovrà attenersi qualsiasi trattamento dei dati, sono enunciati dall'articolo 5, paragrafi 1 e 2, del regolamento GDPR e sono i seguenti.

Legittimità, buona fede e trasparenza

Il trattamento dei dati personali deve avvenire nel rispetto della normativa di base, secondo buona fede, e con modalità comprensibili per l'interessato, al quale saranno fornite le informazioni in forma precisa, trasparente, comprensibile e facilmente accessibile e in un linguaggio semplice e chiaro.

Limitazioni di finalità

La raccolta dei dai può avvenire solo per finalità determinate, chiare e legittime. Qualsiasi trattamento che sia incompatibile con tali finalità non è consentito. Il bilanciamento degli interessi, direttamente collegato alla limitazione di finalità, è elemento centrale della normativa di base. Le specifiche finalità di trattamento dei dati personali, devono pertanto, essere determinate caso per caso.

Minimizzazione dei dati

La raccolta e l'elaborazione dei dati deve essere limitata ai dati effettivamente necessari per il conseguimento dello scopo.

Correttezza dei dati

In futuro le aziende dovranno essere in grado di dimostrare che i dati personali siano effettivamente corretti ed aggiornati secondo la nuova normativa. I dati errati dovranno, pertanto, essere cancellati e/o corretti. Le aziende dovranno regolarmente provvedere all’aggiornamento degli stessi.

Limiti di conservazione

I dati personali dovranno essere conservati per un arco di tempo non superiore a quello necessario in relazione alle finalità per le quali sono stati trattati. Devono inoltre essere rispettati i termini di conservazione previsti dalla legge. Le imprese dovranno valutare se sia o meno possibile applicare la pseudonimizzazione o l'anonimizzazione dei dati. In caso di pseudonimizzazione, i dati personali non possono essere attribuiti a una persona fisica senza l'uso di informazioni supplementari. A tal fine sono da attuare misure tecniche e organizzative.

Integrità e riservatezza

In futuro dovranno essere adottate misure atte a prevenire un trattamento non autorizzato e illecito, nonché la perdita, la distruzione o il danneggiamento accidentale dei dati. Tali misure devono essere adottate in particolare nei settori dell'informatica e dell'organizzazione (ad esempio, concetti di accesso e autorizzazione, cifratura). A tale riguardo, occorre osservare in particolare l'articolo 32 (Sicurezza del trattamento) e l'articolo 35 (Valutazione d'impatto sulla protezione dei dati). In caso di violazione dei dati personali che possa comportare un rischio per i diritti e la libertà delle persone fisiche, il responsabile del trattamento ne informa l'autorità competente per la protezione dei dati. Se necessario, se il rischio è elevato, anche le persone colpite dovranno essere informate.

Accountability

Conformemente al principio di responsabilità (art. 5 cpv. 2), le imprese devono essere in grado di fornire prove documentali del rispetto dei principi summenzionati.

In caso di ulteriori domande, non esitate a contattare uno dei nostri uffici.