Tutto ciò che c’è da sapere sul GDPR
Cosa cambia con il nuovo regolamento europeo e cosa bisogna fare per essere in regola?
Da tempo sentiamo parlare di GDPR e del nuovo regolamento europeo sulla privacy che sarà effettivo il 25 maggio 2018. Risultano ancora impreparati aziende, imprese ed enti pubblici ad accogliere le novità del nuovo regolamento sulla protezione dei dati personali. Per questo motivo ho deciso di fare un po’ di chiarezza e di spiegarti di che cosa si tratta. Partiamo, come sempre, in maniera graduale.
Che cos’è il GDPR?
GDPR è l’acronimo di General Data Protection Regulation e si tratta del Regolamento Europeo UE 2016/679, che a partire dal 25 maggio 2018 sarà direttamente applicabile in tutti i Paesi membri, ai cittadini residenti nell’UE, sia all'interno che all'esterno dei confini dell'Unione europea.
Questo regolamento apporta delle modifiche alla disciplina del trattamento dei dati personali. L’obiettivo è quello di garantire maggiore sicurezza ai cittadini europei per quanto riguarda la tutela dei loro dati. Un tema che, nelle ultime settimane, è diventato quanto mai caldo. A mio avviso, è una “risposta” necessaria e urgente alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini Ue.
Leggi: Il caso Facebook e Cambridge Analytica
L’introduzione della GDPR avrà degli effetti e ci saranno dei cambiamenti. Vediamoli nel dettaglio.
Cosa cambia con il nuovo regolamento europeo?
Il GDPR si differenzia dai precedenti standard di privacy dell’Unione Europea, infatti andrà a sostituire la direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/EC, istituita nel 1995), abrogherà le norme del codice per la protezione dei dati personali (dlgs.n. 196/2003) che risulteranno con esso incompatibili.
Ciò genera confusione per alcuni, ma si attende una normativa italiana "di raccordo" che metta ordine e inserisca le norme del codice privacy compatibili all'interno del Regolamento.
I fattori che lo differenziano dai precedenti standard sono:
- Ambito
- Consenso
- Introduzione del DPO
- Sanzioni
Per comodità preferisco definirlo ambito territoriale e ti spiego subito il motivo. Il regolamento si applica ai dati dei residenti nell'UE e a differenza dell’attuale direttiva, si applica anche a imprese, enti e organizzazioni in generale che operano in Europa, a prescindere dal luogo o dal paese dove sono collocati i sistemi di archiviazione e di elaborazione. I dati personali sono qualsiasi informazione relativa a un individuo, collegata alla sua vita privata, professionale o pubblica. Può riguardare ogni tipo di dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web, social network, informazioni mediche o indirizzi IP di computer.
La Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali afferma che l’ottenimento del consenso deve essere esplicito. Non è ammesso il consenso tacito o presunto e con esplicito non s’intende per forza la forma scritta, anche se è consigliabile.
Inoltre, la revoca del consenso deve essere altrettanto semplice quanto la concessione, che anch'essa deve essere dimostrabile.
Nell'informativa si deve sempre specificare:
- i dati di contatto del RPD-DPO (Responsabile della protezione dei dati – Data Protection Officer)
- la base giuridica del trattamento (dove esistente)
- qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento
- se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti.
L’informativa generalmente va data per iscritto e in formato elettronico e deve essere:
- concisa
- trasparente
- intelligibile per l’interessato
- facilmente accessibile
- scritta con un linguaggio chiaro e semplice
Uno dei grandi cambiamenti è sicuramente l’introduzione del DPO.
Il DPO è l’acronimo di Data Protection Officer ed equivale al Responsabile della protezione dei dati. Il DPO è incaricato di assicurare una corretta gestione dei dati personali e deve:
- riferire al vertice
- essere indipendente
- avere risorse umane e finanziarie adeguate
Tuttavia, riguardo al DPO, persistono ancora troppi dubbi. E’ una figura rilevante, ma certamente non è il ‘centro’ del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento
Infine, parliamo delle violazioni.
Esse possono essere punite con vari gradi di sanzioni arrivando a cifre molto importanti. Le sanzioni per infrazioni gravi del GDPR, come la mancata acquisizione del consenso, possono arrivare al 4% del fatturato annuo o 20 milioni di euro.
Ti starai chiedendo: “cosa devo fare per essere in regola con il GDPR?”
Il punto di partenza deve essere l’analisi dello stato dell’azienda in materia, in modo tale da valutare le azioni da compiere per mettersi in regola. Non dimenticare di rivedere la modulistica, in quanto potrebbe causarti sanzioni se non in linea con le modifiche previste dalla nuova normativa.
Dovrai dotarti di una struttura adeguata per gestire correttamente i diritti degli utenti, come la cancellazione dei dati, ovvero ritirare il consenso (diritto all’oblio) e la richiesta per ricevere i dati concessi a un titolare, per trasferirli a un altro (diritto alla portabilità dei dati).
Inoltre, per il diritto di accesso, è necessario che tu sia completamente trasparente riguardo alla raccolta e l’utilizzo dei dati.
Molte sono ancora le aziende italiane non pronte ad allinearsi ai provvedimenti adottati dal nuovo regolamento europeo. Alcuni dirigenti di aziende non sono del tutto consapevoli di cosa cambia con il GDPR, ma, nonostante ciò, hanno consapevolezza dei rischi.
In sintesi, se usi WordPress, Facebook o altro per raccogliere dati, ricorda di non utilizzare essi per scopi diversi da quelli contrattuale, salvo l’autorizzazione esplicita da parte degli utenti. Metti in evidenzia le tue intenzioni in ciascun form di contatto pubblicate sul sito o sul tuo blog!
Del GDPR ne ho dedotto questo, ovviamente ti consiglio di rivolgerti ad un esperto del settore. L’importante è che tu adesso abbia le idee più chiare… almeno lo spero!
Però dimmi, cosa ne pensi di tutto ciò? La tua azienda è pronta per il GDPR?