|
<< Click to Display Table of Contents >> GDPR |
  
|
|
<< Click to Display Table of Contents >> GDPR |
|
Bosch si impegna a rispettare il General Data Protection Regulation (GDPR - Regolamento generale sulla protezione dei dati) dall'entrata in vigore dello stesso, il 25 maggio 2018 (per maggiori dettagli: http://www.eugdpr.org/).
Di conseguenza, i siti web Bosch presentano caratteristiche a supporto della conformità al GDPR.
Ai sensi del GDPR, la notifica di violazione diventa obbligatoria in tutti gli Stati Membri nei quali una violazione dei dati "è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone". I responsabili del trattamento sono tenuti a notificare la violazione dei dati personali ai propri clienti, i titolari del trattamento, "senza ingiustificato ritardo" e, ove possibile, entro 72 ore dal momento in cui ne siano venuti a conoscenza.
Ai diritti a favore dei soggetti interessati il GDPR aggiunge il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, oltre che informazioni sul luogo e sulle finalità del trattamento stesso. Il titolare del trattamento deve fornire, inoltre, a titolo gratuito, una copia in formato elettronico dei dati personali trattati. Questa modifica è un passo cruciale verso la trasparenza dei dati e la responsabilizzazione dei soggetti interessati.
Conosciuto anche come diritto di cancellazione, il "diritto all'oblio" riconosce agli interessati il diritto di ottenere la cancellazione dei dati personali che li riguardano, cessare l'ulteriore diffusione dei dati e, potenzialmente, impedire il trattamento dei dati da parte di terzi. Le condizioni per la cancellazione sono presentate nell' articolo 17e includono l'eventualità che i dati personali non siano più necessari rispetto alle finalità per le quali sono stati trattati o che l'interessato revochi il consenso al trattamento. Si noti che nel valutare eventuali richieste attinenti l'esercizio di tale diritto, il titolare dei dati è tenuto a considerare in che misura la disponibilità dei dati personali oggetto della richiesta sia o meno necessaria per motivi di interesse pubblico.
Il GDPR introduce la portabilità dei dati, ossia il diritto dell'interessato a ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e il diritto di trasmettere tali dati a un altro titolare del trattamento.
Il concetto di "Privacy by design", protezione della sfera privata fin dalla progettazione, esiste da anni, ma solo di recente è divenuto requisito legale nel quadro del GDPR. Come dice il nome stesso, il principio di "privacy by design" richiama l'inclusione della protezione dei dati fin dalle fasi iniziali della progettazione dei sistemi, piuttosto che come semplice aggiunta. Nello specifico, il "titolare del trattamento è tenuto a mettere in atto misure tecniche e organizzative adeguate, in modo efficace, per soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. L'articolo 23 richiede ai titolari del trattamento di detenere e trattare unicamente i dati assolutamente necessari per il completamento dei propri obblighi (minimizzazione dei dati), limitando altresì l'accesso ai dati personali alle sole persone per le quali il trattamento dei dati sia un'assoluta necessità.
Attualmente, i titolari del trattamento dei dati sono tenuti a notificare le rispettive attività di trattamento dei dati ai responsabili della protezione dei dati a livello locale, il che, per le società multinazionali, rappresenta in molti casi un vero e proprio incubo, vista la pluralità di requisiti di rendicontazione vigenti nei singoli Stati Membri. Con il GDPR non sarà più necessario inviare le notifiche/registrazioni delle attività di trattamento ai singoli responsabili della protezione dei dati locali, né sarà più obbligatorio notificare/ottenere l'approvazione per trasferimenti di dati basati su clausole contrattuali tipo (MCC, Model Contract Clauses). Piuttosto, con il regolamento verranno introdotti requisiti interni per la tenuta dei registri, meglio descritti di seguito, e la designazione del responsabile della protezione dei dati sarà obbligatoria solo per quei titolari del trattamento o responsabili del trattamento le cui attività principali consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala oppure nel trattamento di categorie particolari di dati personali o di dati relativi a condanne penali e a reati. In particolare, il responsabile della protezione dei dati:
•deve essere designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati
•può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi
•al responsabile della protezione dei dati competente devono essere fornite tutte le informazioni di contatto necessarie
•deve disporre di tutte le risorse necessarie per assolvere i compiti che gli competono e per mantenere la propria conoscenza specialistica
•riferisce direttamente al vertice gerarchico
•gli è fatto divieto di svolgere qualsiasi altro compito o funzione che dia adito a un conflitto di interessi