GDPR – GENERAL DATA PROTECTION REGULATION

Il 25 Maggio 2018 è prevista l’entrata in vigore del così detto GDPR (General Data Protection Regulation), regolamento con cui l’Unione Europea ha voluto introdurre nuove norme in materia di protezione delle persone fisiche in merito al trattamento dei dati personali e alla libera circolazione degli stessi.

Ma cerchiamo di fare maggiore chiarezza su questa normativa e cosa significherà effettivamente per consumatori, imprese ed imprenditori.

La sua principale finalità è quella di trovare un definitivo accordo nella ormai controversa questione della regolamentazione della privacy e coinvolgerà tutti i paesi che si trovano all’interno dell’Unione Europea ma anche quelle imprese che, pur non facendone parte, offrono servizi o prodotti o che osservano il comportamento di individui all’interno dell’UE.

Essa riprende i punti cardine già proclamati nella direttiva 95/45 ma il tutto viene ora considerato in quell’ottica di radicale rinnovamento di cui è stato teatro il mondo digitale negli ultimi anni.
Da un lato mira a fornire ai cittadini dell’Unione Europea un adeguato monitoraggio dei propri dati personali e dall’altro ad agevolare le imprese che si occupano di gestire questi dati sensibili, dando loro strumenti appropriati per districarsi con maggior facilità in un panorama di regole e norme spesso difficile da interpretare e di conseguenza da applicare.

In quest’ottica il dato personale non è più considerato solo come una proprietà dell’individuo ma, assumendo un punto di vista più moderno ed adeguato alle nuove forme di profilazione globale, anche come un patrimonio aziendale da incrementare e proteggere.

 

Tra le principali novità del nuovo regolamento UE sulla privacy vi sono le nuove norme sull’informativa e sul consenso: si cerca in particolare modo sul concetto di responsabilizzazione che si traduce in un atteggiamento pro-attivo e collaborativo al fine di applicare concretamente le misure previste dalla normativa. Le società che raccolgono o trattano dati personali avranno infatti l’onere di spiegare agli utenti tutte le condizioni che regolano la raccolta e il trattamento dei dati in un linguaggio chiaro, inequivocabile e facilmente comprensibile da tutti.
A tal scopo si può ricorrere anche all’uso di icone (che dovranno essere riconosciute in tutta l’Unione Europea).

Il consenso al trattamento dei dati personali dovrà essere preventivo ed inequivocabile, così come lo è già oggi.
Quel che cambia è la modalità con cui dovrà essere espresso: dovrà infatti essere esplicito e non potrà più basarsi su un tacito consenso o ponendo all’interessato una serie di opzioni già selezionate come sistemi di caselle pre -compilate e, se ciò è accaduto in passato, l’azienda dovrà premurarsi di richiedere nuovamente ai clienti già consenzienti l’autorizzazione al trattamento dei dati rispettando le nuove norme previste dal GDPR.
Inoltre l’utente potrà revocare il proprio consenso in qualunque momento e l’azienda sarà tenuta, senza obiettare, a rispettare questa decisione.

Sono previste modifiche anche alle modalità di raccolta del consenso per la fruizione di servizi su internet e social media in caso di minori di 16 anni; sarà infatti necessaria l’autorizzazione da parte dei genitori o di chi ne esercita la patria podestà.

Agli utenti sarà inoltre consentito il trasferimento dei propri dati personali da un titolare del trattamento ad un altro. Ad esempio si potrà cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati

Il consumatore ha inoltre il diritto di poter cancellare i suoi dati personali online nel caso essi non siano più pertinenti, o se inadeguati rispetto alle finalità del trattamento o qualora i dati siano trattati in modo illecito.
Inoltre la conservazione dei dati dell’utente non potrà essere illimitata ma la durata del trattamento dovrà essere collegata alla finalità per la quale è stato richiesto il consenso.

In caso di violazione dei dati il titolare del trattamento è tenuto a comunicarlo all’Autorità Garante. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.

Ma quindi come possiamo prepararci per farci trovare pronti il 25 maggio 2018?
Secondo le statistiche sono ancora pochissime le aziende ad essere veramente pronte ma è necessario attrezzarsi il prima possibile in quanto in caso di mancata conformità sono promesse multe salate, a stento affrontabili dalle piccole aziende, che possono ammontare fino al 4% del fatturato annuale globale o a 20 milioni di euro.

Senz’altro un buon punto di partenza sarebbe un’attenta verifica dei dati raccolti, valutandone le basi giuridiche ed esaminandone l’impatto per gli interessati
Quanto verificato sarà poi comunicato all’esterno agli organi preposti, precisando anche i diritti degli individui in relazione a tali trattamenti.

In sintesi i principi generali del GDPR si possono riassumere in termini di responsabilità e trasparenza:

  • Verifica della preparazione del personale ed eventuale aggiornamento sulle nuove regole;
  • La verifica dei dati trattati, con identificazione del tipo di dati e categorizzazione in modo da distinguerli tra loro,
  • Verifica della finalità e della base giuridica del trattamento e eventuale redazione del registro dei trattamenti;
  • Aggiornamento dell’informativa privacy, informando in maniera corretta e comprensibile gli interessati circa base giuridica del trattamento dei dati e sui loro diritti (rettifica, cancellazione, oblio);
  •  Verifica della procedura per consentire agli interessati di richiedere l’attuazione dei loro diritti;
  •  Verifica delle modalità di ottenimento del consenso e di una procedura per verificare l’età degli interessati;
  •  Eventuale valutazione d’impatto del trattamento dei dati;
  • Instaurazione di una procedura per eventuali violazioni dei dati;
  •  Eventuale designazione di un Data Protection Officer;
  •  Stabilire correttamente l’autorità di vigilanza alla quale si è soggetti.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *