Il Regolamento generale sulla protezione dei dati (GDPR) è stato adottato il 27 aprile 2016 ed è applicabile dal 25 maggio 2018. Rappresenta una riforma importante della legge sulla protezione dei dati in Europa. Insieme alla direttiva sulla prevenzione e rilevazione dei reati, forma il “pacchetto dati” mirato ad armonizzare le norme sulla protezione dei dati, rafforzare i diritti delle persone e il loro controllo sui dati, nonché diffondere il concetto europeo di protezione dei dati attraverso un effetto extraterritoriale.

Per quanto riguarda la legge francese, uno dei principali cambiamenti introdotti dal GDPR è il passaggio da un regime amministrativo di formalità preliminari a un regime di conformità generale.

Il GDPR si applica al trattamento dei dati personali, che si riferisce a qualsiasi informazione relativa a una persona fisica identificata o identificabile. Questo include dati che possono identificare direttamente o indirettamente una persona, come nome, numero di identificazione, dati di localizzazione o elementi specifici della sua identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale. I dati anonimizzati sono esclusi dal campo di applicazione del GDPR, mentre i dati pseudonimizzati rimangono classificati come dati personali perché rimangono legati alla persona interessata. Le attività puramente personali o domestiche sono esenti dal campo di applicazione del regolamento. I legislatori francesi hanno utilizzato l’opportunità di introdurre disposizioni specifiche sostenendo che il GDPR si applica ogni volta che l’interessato risiede in Francia, anche se il responsabile del trattamento non è stabilito in Francia.

Il responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, l’ente o altro organismo che, da solo o con altri, determina le finalità e i mezzi del trattamento dei dati personali. Si tratta quindi dell’ente che decide sull’attuazione del trattamento e ne assume la responsabilità. Il responsabile del trattamento è definito come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del responsabile del trattamento. Il responsabile del trattamento deve essere distinto dal destinatario dei dati perché non è autorizzato a utilizzare i dati per i propri fini o a comunicarli a terzi su sua iniziativa, salvo disposizioni legislative o regolamentari.

Ogni trattamento dei dati personali deve rispettare i principi fondamentali stabiliti all’articolo 6 del GDPR. I dati sono raccolti per finalità specifiche, esplicite e legittime, corrispondenti agli obiettivi perseguiti dal responsabile del trattamento. Una stessa raccolta di dati può rispondere a più obiettivi distinti. Le finalità devono essere specifiche, esplicite e legittime. I dati devono essere trattati in modo lecito, equo e trasparente rispetto all’interessato. Per essere lecito, un trattamento deve basarsi su un fondamento, ossia soddisfare una delle condizioni stabilite all’articolo 6 del GDPR. La persona deve acconsentire al trattamento o questo deve essere necessario:

– per l’esecuzione di misure contrattuali o precontrattuali richieste dalla persona interessata,

– per rispettare un obbligo legale al quale è soggetto il responsabile del trattamento,

– per proteggere la vita della persona interessata o di un’altra persona,

– per svolgere un compito di interesse pubblico o legato all’esercizio dell’autorità pubblica di cui è investito il responsabile del trattamento.

Il responsabile del trattamento è anche soggetto all’obbligo di minimizzare i dati. I dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati. Questo principio è anche chiamato principio di proporzionalità.

I dati devono essere precisi e, se necessario, aggiornati. Devono essere adottate tutte le misure ragionevoli affinché i dati personali inesatti siano cancellati o rettificati senza indugi.

I dati devono essere conservati in una forma che consenta l’identificazione delle persone interessate per un periodo non superiore a quello necessario rispetto alle finalità per cui i dati personali sono trattati. I dati non possono essere conservati indefinitamente, ma solo per una durata determinata.

Inoltre, il responsabile del trattamento deve rispettare il principio di integrità e riservatezza. I dati devono essere trattati in modo da garantire una sicurezza adeguata dei dati personali, compresa la protezione contro il trattamento non autorizzato o illecito e contro la perdita, la distruzione o il danneggiamento accidentale, mediante misure tecniche o organizzative appropriate.

Perché qualsiasi trattamento dei dati personali sia lecito, deve basarsi su un fondamento. Il consenso delle persone interessate è dato per una o più finalità specifiche ed è uno di questi fondamenti. Il consenso non costituisce un fondamento giuridico valido per il trattamento dei dati personali in un caso particolare se c’è uno squilibrio manifesto tra la persona interessata e il responsabile del trattamento. Il consenso non può essere liberamente dato se la persona interessata non è in grado di rifiutare o revocare il consenso senza subire un pregiudizio. Il consenso deve essere dato per uno scopo specifico e in modo granulare. La persona interessata deve essere stata informata prima di dare il consenso in modo da poterlo dare consapevolmente. La comunicazione deve essere effettuata in linguaggio chiaro, accessibile e comprensibile. Il consenso deve essere dato con un atto positivo chiaro. La persona ha il diritto di revocare il consenso in qualsiasi momento e deve essere altrettanto facile revocarlo quanto darlo. Il trattamento dei dati non è lecito se il minore ha meno di 16 anni.

Alcuni dati sono soggetti a una protezione speciale perché considerati sensibili. Questi

 includono dati sulla razza o l’origine etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, nonché il trattamento di dati genetici, dati biometrici per identificare un individuo in modo univoco, dati sulla salute o sulla vita sessuale o l’orientamento sessuale di una persona. In linea di principio, il trattamento di tali dati è vietato. Tuttavia, ci sono eccezioni quando la persona ha dato il proprio consenso esplicito per una o più finalità specifiche, se il trattamento è necessario per adempiere agli obblighi e esercitare i diritti propri del responsabile del trattamento o della persona interessata in materia di diritto del lavoro, sicurezza sociale e protezione sociale, nella misura in cui tale trattamento è autorizzato dal diritto dell’Unione, dal diritto di uno Stato membro o da un accordo collettivo; o se il trattamento è necessario per salvaguardare gli interessi vitali della persona interessata o di un’altra persona fisica.

Il GDPR ha introdotto il principio dell’accountability, spesso tradotto in francese come “principio di responsabilità”. L’articolo 24 del GDPR specifica che il responsabile del trattamento deve adottare misure tecniche e organizzative appropriate per garantire e essere in grado di dimostrare che il trattamento è effettuato conformemente al GDPR. Pertanto, il responsabile del trattamento deve stabilire regole interne per garantire il rispetto del GDPR. Le misure devono essere definite tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché dei rischi, la cui probabilità e gravità variano, per i diritti e le libertà delle persone fisiche. Si tratta quindi di un processo dinamico di conformità permanente. Questo principio si traduce nella definizione di politiche di protezione dei dati e sicurezza delle informazioni, di un registro delle attività di trattamento e delle violazioni dei dati e nel considerare i principi della responsabilità.

Il GDPR introduce vari diritti per le persone interessate, tra cui:

– diritto di accesso ai dati che li riguardano,

– diritto di rettifica,

– diritto di interrogazione,

– diritto di limitazione,

– diritto alla portabilità,

– diritto all’oblio.

La circolazione dei dati è una delle principali preoccupazioni del legislatore europeo. Il GDPR affronta questa questione all’interno dell’Unione europea, ma pone limiti al trasferimento di dati al di fuori dell’Unione europea. Se il trasferimento è lecito nello Spazio economico europeo e nell’Associazione europea di libero scambio, è più complicato al di fuori di questi spazi. Alcuni paesi hanno una regolamentazione riconosciuta come equivalente dal legislatore europeo. Quando ciò non è il caso, le aziende possono trasferire dati se istituiscono regole interne al gruppo che li obbligano a rispettare il GDPR. Con gli Stati Uniti, il legislatore europeo ha inizialmente riconosciuto l’equivalenza del diritto americano, poi il diritto europeo ha ritrattato questa decisione prima che le autorità europee riconoscessero un’equivalenza tra i due sistemi (a seguito di una riforma del diritto americano). È quindi necessario monitorare regolarmente lo stato del diritto quando si effettuano trasferimenti internazionali di dati.

In caso di violazione del GDPR, le sanzioni possono arrivare a €2.000.000 o al 4% del fatturato mondiale dell’anno finanziario precedente, con l’applicazione del valore più alto.

Per qualsiasi domanda riguardante il diritto dei dati personali, lo studio è a vostra disposizione.

Link utili :

Sito dell’Unione Europea : Regolamento generale sulla protezione dei dati (GDPR) | EUR-Lex (europa.eu)

Articolo sul’impatto economico : https://www.google.fr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&ved=2ahUKEwi19Yfx5tuFAxX4UKQEHW5dCUIQFnoECDcQAQ&url=https%3A%2F%2Fwww.riskmanagement360.it%2Fanalisti-ed-esperti%2Flimpatto-economico-del-gdpr-nella-valorizzazione-della-azienda%2F&usg=AOvVaw2nDyQNSHnWs5chJsvsXFep&opi=89978449