GDPR - General Data Protection Regulation: nuove regole per il trattamento dei dati personali

15/05/2018

GDPR - General Data Protection Regulation: nuove regole per il trattamento dei dati personali


Il trattamento dei dati personali è indipendente dalla natura giuridica e dalle dimensioni del soggetto che lo effettua; perciò anche gli enti non profit sono soggetti alle norme che regolano queste attività.

Il 25.05.2018 entrerà in vigore il Regolamento UE/2016/679 General Data Protection Regulation – GDPR che riscrive in alcuni Paesi UE le regole per il trattamento dei dati personali.

L’adeguamento dell’informativa da consegnare all’interessato al momento del conferimento dei dati, sarà una delle novità da attivare.

Questa informativa appare più strutturata rispetto a quella a cui ci siamo abituati in questi anni e dovrà contenere:

- l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

- le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

- qualora il trattamento si basi sull’art. 6, par. 1, lett. f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

- gli eventuali destinatari dei dati personali;

- il periodo di conservazione dei dati personali; se non è possibile, i criteri utilizzati per determinare tale periodo;

- l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la loro rettifica o la cancellazione o la limitazione del trattamento che lo riguarda o di opporsi al trattamento, oltre al diritto alla portabilità dei dati;

- qualora il trattamento sia basato sull’art. 6, par. 1, lett. a), oppure sull’art. 9, par. 2, lett. a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

- il diritto di proporre reclamo a un’autorità di controllo;

- se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati.

Qualora ricorresse il caso, l’informativa dovrà anche contenere:

- l’indicazione dei dati relativi al responsabile della protezione dei dati (casi indicati nell’art. 37 GDPR);

- le indicazioni circa il trasferimento all’estero o a un’organizzazione internazionale dei dati personali;

- l’indicazione dell’esistenza di un processo decisionale automatizzato, compresa la profilazione (cfr. GDPR art. 22, par. 1 e 4) e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste per l’interessato.