Il Regolamento Generale sulla Protezione dei Dati (RGPD) arriva in Europa per restarci
Il 25 maggio 2018 verrà applicato il Regolamento Generale sulla Protezione dei Dati (RGPD), che sostituisce l’attuale normativa vigente: sai in cosa consiste?
Il trattamento dei dati personali dei loro clienti e utenti, che le aziende esercitano, deve sempre essere effettuato secondo le più severe misure di sicurezza e riservatezza. Pertanto, ogni azienda è obbligata a rispettare la cosiddetta Protezione dei dati di carattere personale, che abbiano ottenuto, indipendentemente dal modo, dalle persone che hanno usufruito dei loro servizi.
Cos’è la protezione dei dati?
La protezione dei dati è una branca del diritto emersa non molto tempo fa, al fine di proteggere la privacy personale e il diritto all’onore e alla reputazione, tra gli altri diritti fondamentali, contro i possibili rischi derivanti dalla raccolta e dall’uso dei dati personali da parte di aziende e istituzioni. I dati personali sono intesi come tutti quelli riferiti alla sfera particolare della persona e che, in un modo o nell’altro, possono essere utilizzati per valutare aspetti come le abitudini di acquisto, routine familiari, credenze personali, storia medica o psicologica, ecc. L’importanza della sua regolamentazione sorge dall’avvento dell’elaborazione informatica di questi dati, che consente una flessibilità di comunicazione così elevata, da renderli facilmente trasmissibili a qualsiasi persona nel mondo.
Perché è così importante?
In questa situazione, gli Stati hanno iniziato a considerare la necessità di limitare questo traffico e l’uso massiccio dei dati, poiché sono giunti a ritenere che stavano minando diritti fondamentali quali il diritto all’onore e alla privacy personale e familiare. Attualmente, in Italia, la protezione dei dati è gestita dal Garante per la protezione dei dati personali, ovvero un’autorità amministrativa indipendente istituita dalla legge n. 675 del 31 dicembre 1996 (cosiddetta legge sulla privacy), per garantire la tutela dei diritti e delle libertà fondamentali e il rispetto della dignità nel trattamento dei dati personali. Con l’entrata in vigore del Codice in materia di protezione dei dati personali (meglio noto come Codice della privacy), approvato con il decreto legislativo n. 196 del 30 giugno 2003, la legge n. 675/1996 è stata abrogata.
Non dimentichiamo che il trattamento dei dati personali può non solo danneggiare il diritto all’onore o alla privacy, ma anche altri molteplici diritti della personalità.
Inoltre, questo diritto è così importante a livello internazionale che la Carta dei Diritti Fondamentali dell’Unione Europea lo qualifica come un diritto fondamentale di ogni cittadino nell’articolo 8, comma 1. Per questo, e per cercare di eliminare le possibili disparità di trattamento negli Stati membri dell’Unione europea, è stato redatto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sulla protezione delle persone fisiche, rispetto al trattamento dei dati personali e la libera circolazione di tali dati e per il quale si deroga alla direttiva 95/46 / CE (Regolamento generale sulla protezione dei dati). Il presente regolamento entra in vigore il 25 maggio 2018, quando diventa uno strumento di applicazione diretta a qualsiasi società che offra i propri servizi negli Stati membri dell’Unione europea.
Note sul Regolamento generale sulla protezione dei dati
Il Regolamento generale sulla protezione dei dati include nella sua stesura alcuni miglioramenti molto importanti dei diritti degli utenti che, anche se ora ne parleremo brevemente, dettaglieremo in modo più approfondito nelle sezioni seguenti. Una di queste novità è il già menzionato consenso esplicito, chiaro e diretto del proprietario dei dati rispetto al trattamento, mentre in precedenza era ammesso il tacito consenso che è stato ora bandito.
Inoltre, viene introdotto anche il diritto all’oblio, che consente la richiesta di cancellazione dei nostri dati personali, sempre legata a determinati requisiti o esigenze. Un’altra delle principali misure attuate è la creazione della figura del Delegato per la Protezione dei Dati, che sarà il responsabile diretto del trattamento dei dati e dell’osservanza da parte della azienda di tutti i doveri ad esso connessi, e sarà anche incaricato di fornire soluzioni alle possibili segnalazioni di utenti che possano sentirsi danneggiati. Tali segnalazioni potrebbero anche comportare un risarcimento per i danni e le perdite causate al proprietario dei dati in caso di trattamento illecito degli stessi; o sanzioni milionarie per la società non osservante il Regolamento, un massimo di 20.000.000 di euro o un importo equivalente a un massimo del 4% del fatturato totale annuo dell’esercizio precedente, optando per il maggiore importo.
Quali sono gli obblighi delle aziende?
All’interno dei dati protetti, e che quindi non possono essere trasferiti a terzi senza il consenso esplicito del proprietario, non vi sono solo il nome, il cognome o il numero di identificazione fiscale, quali dati di base della persona. Sono protetti anche, a maggior ragione se possibile, i dati di particolare sensibilità, che in relazione alla fornitura di servizi psicologici sono quelli relativi alla salute, sia psichica che fisica, dell’utente o del paziente. In altre parole, le società che forniscono il servizio sono obbligate ad agire in conformità al Regolamento generale sulla protezione dei dati, nonché alla direttiva 2011/24 /UE del Parlamento europeo e del Consiglio, dovendo considerare come trattamento di dati personali qualsiasi informazione sulla persona fisica che venga raccolta in occasione della sua registrazione ai fini di assistenza sanitaria o della stessa fornitura di tale assistenza.
Il consenso a tutto questo deve essere dato espressamente e chiaramente, essendo valida la concessione dello stesso attraverso la medesima applicazione in cui viene fornito il servizio, contrassegnando la casella di conformità abilitata a tale scopo. Una volta dato il consenso, il trattamento da parte delle aziende deve essere lecito e leale. Si deve informare, sempre e comunque, sui dati che si stanno raccogliendo, usando, consultando o trattando. Il linguaggio da utilizzare sarà semplice e chiaro, in modo che possa essere compreso correttamente da chiunque. Inoltre, l’azienda deve anche offrire all’utente una serie di dati su se stessa e sul suo funzionamento in tale ambito, in particolare, l’identità del responsabile del trattamento dei dati, gli scopi per i quali sono raccolti e quelli che saranno raccolti. Ovviamente, si deve anche informare sul lasso di tempo durante il quale si continueranno a trattare i dati e quando saranno distrutti.
Vale a dire che i dati devono essere trattati in modo lecito, leale e trasparente nei confronti della parte interessata. Tuttavia, anche quando il Regolamento prevede che possano essere utilizzati solo per gli scopi per i quali è stato concesso il consenso, stabilisce l’eccezione quando il loro utilizzo è finalizzato alla documentazione di pubblico interesse, ricerche scientifiche e storiche o a fini statistici, nel qual caso, dovranno essere prese le misure e le garanzie appropriate per garantire l’apporto della quantità minima di dati che possano identificare l’individuo, ad esempio attraverso la pseudonimizzazione dei dati forniti.
Pertanto, le aziende risponderanno dei dati trattati in modo tale da essere in grado di garantire un’adeguata sicurezza degli stessi, inclusa la loro protezione contro il trattamento non autorizzato o illecito e contro la loro perdita, distruzione o danno accidentale. Tutto ciò, attraverso l’obbligo di una corretta applicazione delle misure tecniche o organizzative pertinenti per garantire l’integrità e la riservatezza degli stessi, potendo dimostrare che questa responsabilità proattiva dei diritti degli utenti viene esercitata.
Infine, poiché la maggior parte dei dati che verranno trattati nello sviluppo della terapia psicologica, come dati genetici, biometrici, relativi alla salute o anche alla vita sessuale o all’orientamento sessuale dell’utente, appartiene a una categoria speciale di dati personali, esiste un’eccezione apposita. In generale, e per la stragrande maggioranza delle società, il suo trattamento è vietato, in quanto potrà essere eseguito solo se è soddisfatta una delle eccezioni stabilite dal Regolamento stesso, nel caso che ci riguarda, quando il trattamento di questi dati è necessario per la diagnosi medica, la fornitura di assistenza o il trattamento di tipo sanitario o sociale.
E quali diritti ha l’utente?
I diritti che il Regolamento conferisce ai proprietari dei dati trattati sono molto ampi, poiché si vuole conferire una protezione la più ampia possibile in qualunque sia la situazione in cui si svolge il trattamento. Pertanto, mostreremo qui quelli applicabili agli utenti dei servizi di terapia online.
• Diritto all’informazione, accesso, rettifica e cancellazione dei dati personali raccolti dalla società. L’interessato ha il diritto che la società responsabile gli confermi che i suoi dati personali sono trattati e di ricevere tutte le informazioni relative a tale trattamento. Inoltre, ha il diritto di ricevere una copia dei dati personali che sono oggetto del trattamento, e nel caso in cui fossero inesatti o incompleti, che vengano rettificati e/o completati. Infine, la parte interessata potrà anche chiedere la cancellazione dei propri dati, ciò che è stato descritto come diritto all’oblio.
• Per poter richiedere il diritto all’oblio dei dati personali deve intercorrere almeno uno di questi requisiti, ovvero, i dati personali non sono più necessari per gli scopi per i quali sono stati raccolti; l’interessato ha ritirato il consenso al trattamento dei dati relativi alla sua salute; l’interessato si oppone al trattamento dei dati da parte della società; o i dati personali sono stati trattati illecitamente.
• Diritto alla limitazione del trattamento dei dati ogni qualvolta la parte interessata lo richieda in ragione di una delle cause stabilite dal Regolamento: se l’accuratezza dei dati personali è stata contestata, durante il periodo in cui perduri la verifica di tale caso; se si è verificato un trattamento illecito dei dati; se il responsabile non ha più bisogno dei dati, mentre la parte interessata ne ha bisogno per formulare, esercitare o difendere un eventuale reclamo; o quando la parte interessata si è opposta al trattamento dei propri dati, mentre si determina se sia opportuno accettare tale opposizione.
• Nel caso di dati particolarmente sensibili raccolti durante lo svolgimento di terapie online o in occasione della richiesta di informazioni pregresse, l’interessato ha diritto a che questi dati vengano trasferiti a lui in un formato strutturato, di uso comune e lettura meccanica, per poterli trasmettere ad un’altra persona incaricata del trattamento dei dati.
• L’utente ha diritto di ricevere qualsiasi comunicazione riguardante i suoi dati personali in modo chiaro, conciso e perfettamente comprensibile, oltre ad avere un facile accesso a tali comunicazioni.
• Esercitato qualsiasi diritto sui propri dati personali, la società deve informare la parte interessata dello stato della sua richiesta entro un periodo massimo di un mese dal ricevimento della stessa. In caso di estrema complessità o di un numero elevato di richieste, il termine per rispondere alla richiesta può essere esteso fino a due mesi, ma sempre informando la parte interessata di tali circostanze entro un mese dal ricevimento della richiesta.
• Nel caso in cui il responsabile del trattamento dei dati decidesse di non accettare l’azione richiesta dal proprietario dei dati, dovrà informarlo dei motivi per cui la stessa viene rifiutata nel più breve tempo possibile e fino ad un massimo di un mese dalla ricezione. Inoltre, la parte interessata deve essere informata della possibilità di presentare il reclamo pertinente davanti all’autorità di controllo corrispondente o davanti all’organo giudiziario.
• Il proprietario dei dati ha il diritto alla gratuità della pratica informativa, nonché di qualsiasi altra pratica relativa ai suoi dati personali, come la rettifica o perfino la cancellazione. Tuttavia, a volte, le aziende potrebbero addebitare una piccola commissione per lo svolgimento di questa pratica, nei casi in cui si tratti di richieste obiettivamente infondate o eccessive, in particolare, quelle di natura ripetitiva. Questa commissione deve essere ragionevole in base ai costi amministrativi sostenuti per soddisfare la richiesta. In ogni caso, un’altra opzione che può essere sollevata al proprietario è quella del rifiuto di eseguire qualsiasi azione rispetto alla richiesta. In entrambi i casi, la persona responsabile del trattamento avrà l’onere di provare che la richiesta è infondata o eccessiva se il proprietario decidesse di intraprendere azioni legali.
• La persona della quale venga raccolto qualunque tipo di dato personale ha il diritto di ricevere determinate informazioni dalla società che lo raccoglie, tra cui troviamo i dati d’identità e contatto del responsabile del trattamento, quelli del delegato per la protezione dei dati, gli scopi per i quali sono raccolti e la base giuridica che sostiene la raccolta, i destinatari dei dati raccolti e se saranno trasferiti in un paese terzo o a un’organizzazione internazionale. lo si informerà del periodo di tempo durante il quale i dati saranno trattati, dell’esistenza del diritto di accesso, rettifica o cancellazione, del diritto di recesso del consenso per il trattamento di dati particolarmente sensibili di cui abbiamo parlato sopra, che dovranno cessare di essere trattati immediatamente o il diritto di presentare un reclamo all’organismo di controllo.
• Nel caso in cui la comunicazione di dati personali sia effettuata in virtù di un rapporto legale o contrattuale, si deve informare se la parte interessata è obbligata a fornire le informazioni richieste, nonché delle conseguenze che si avranno sul contratto nel non farlo.
• Per i casi in cui il responsabile del trattamento modificasse, a posteriori, le finalità per le quali i dati sono stati inizialmente raccolti, l’utente ha il diritto di essere informato di questa circostanza e potrà non concedere l’autorizzazione per tale nuovo scopo.
• Infine, come abbiamo già menzionato sopra, nel caso in cui, a causa di una violazione del Regolamento, l’utente subisse qualsiasi danno o perdita, avrà diritto al risarcimento in conformità con i danni o le perdite subite.
Come contrappeso a tutti questi diritti, la parte interessata ha un unico dovere, che è quello di dimostrare pienamente la sua identità alla persona responsabile del trattamento dei dati personali, che può richiedere di fornire le informazioni aggiuntive necessarie per tale verifica. Anche se non possiamo ignorare che questo è in realtà un diritto delle stesse parti interessate, il suo scopo è proprio quello di garantire prima di tutto la riservatezza e l’integrità dei dati personali.
In che cosa aiuta Divan a non saltare le norme sulla protezione dei dati?
L’applicazione è progettata per aiutare sia chi offre determinati servizi ovvero la possibilità di realizzare una terapia online, sia gli utenti di questi, a prendere le misure appropriate per proteggere i dati personali. Nella stessa si include la possibilità di concedere il consenso esplicito che l’utente deve concedere affinché l’azienda sia in grado di elaborare i suoi dati. E, naturalmente, dispone di tutte le misure di sicurezza e crittografia necessarie, volte a garantire che i dati ottenuti siano convogliati in sicurezza alla azienda obiettivo, senza filtrazioni che possano mettere a repentaglio la loro riservatezza. Tutto ciò in ossequio alle normative legali applicabili al trattamento dei dati personali e dei dati specialmente protetti di cui abbiamo già parlato sopra.
La sicurezza e la privacy sono le principali ragioni dell’esistenza di Divan: per questa ragione è fondamentale garantire a entrambi, professionisti e utenti, massima riservatezza.
“Una volta che hai perso la tua privacy, ti accorgi di aver perso una cosa estremamente preziosa”.
(Billy Graham)