Privacy: cos’è il GDPR? Come cambierà il nuovo regolamento sul trattamento dei dati? Cosa devono fare le aziende?

Reading Time: 6 min.

Il GDPR, General Data Protection Regulation, è il nuovo regolamento europeo che cambia completamente la gestione dei dati, la raccolta e la profilazione degli utenti, anche per le aziende.

Approvato dall’Unione Europea nel 2016, è ufficialmente già entrato in vigore ma sarà applicabile e operativo in Italia, solamente dal 25 maggio 2018.

La nuova legge di Data Protection regola la raccolta dei dati e l’utilizzo dei database. Proprio i database rappresentano ormai un bene primario per le aziende che, attraverso la raccolta dei dati, sviluppano il proprio business.

Attraverso l’utilizzo dei big data e della profilazione sempre più accurata, le azioni commerciali sono sempre più mirate e specifiche.

Per questo motivo l’Unione Europea ha ritenuto necessario studiare una norma più specifica che da un lato offrisse maggiori tutele all’utente titolare dei dati ma che, dall’altro, semplificasse il processo di raccolta e detenzione degli stessi.

L’attuale normativa sulla data protection D.Lgs n.196/2003 (Codice in materia di protezione dei dati personali), entrato in vigore nel 2004, ero stato emanato in un periodo in cui i dati venivano raccolti diversamente e internet era appena nato.

Entro maggio però le aziende dovranno adeguarsi alla nuova normativa che introduce nuovi concetti e modifica alcuni aspetti già esistenti.

Come cambierà l’informativa della Privacy?

I contenuti dell’informativa sono elencati in modo tassativo negli art.13 e art.14 del Regolamento e in parte sono più ampi rispetto al Codice.

In particolare il titolare deve sempre specificare i dati di contatto del Responsabile della protezione dei dati (DPO), ove, esistente, la base giuridica del trattamento, nonché se trasferisce dati personali in paesi terzi.

Il regolamento prevede anche ulteriori informazioni, necessarie per garantire un trattamento corretto e trasparente.

In particolare, il titolare deve specificare il periodo di conservazione dei dati e il diritto di presentare un reclamo all’autorità di controllo.

Inoltre l’informativa deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile. Occorre utilizzare un linguaggio chiaro e semplice.

L’introduzione di nuovi concetti.

L’introduzione di questa nuova norma introduce anche alcuni nuovi concetti, soprattutto legati ai diritti dell’utente:

  • Diritto all’oblio, cioè il diritto da parte dell’utente ad essere cancellato completamente, il titolare del trattamento avrà l’obbligo di cancellare anche tutta la storia relativa all’utente;
  • Portabilità dei dati, cioè il diritto alla portabilità dei dati consiste nella possibilità di richiedere al titolare una copia dei dati oggetto del trattamento.
  • “Privacy by design”: il titolare deve adottare e attuare misure tecniche ed organizzative sin dal momento della progettazione oltre che nell’esecuzione del trattamento, che tutelino u principi di protezione dei dati.
  • Privacy by default”, la privacy by default presuppone invece, nella modalità operativa del trattamento, misure e tecniche che, per impostazione predefinita, garantiscano l’utilizzo dei soli dati personali necessari per ciascuna specifica finalità di trattamento.

Scadenza dei dati e gestione dei dati scaduti.

Il dato non è eterno e può essere usato solo per un tempo limitato, questo è uno degli aspetti introdotti dalla nuova normativa di Data Protection.

Il dato dovrà essere utilizzato solamente per il tempo strettamente necessario al soddisfacimento del servizio per il quale è stato rilasciato e sarà obbligo del titolare definirne il lasso temporale.

Ancora non vi sono indicazioni vincolanti ma la norma stabilisce che i dati dovranno essere adeguati, pertinenti e limitati nel tempo.

E per i dati raccolti prima del 25 maggio 2018?

La raccolta dei consensi, fino al 25 maggio, deve ancora avvenire secondo la legge attuale.

I dati raccolti finora non andranno cestinati dopo maggio: sarà necessaria un’attenta analisi per valutare se potranno effettivamente essere utilizzati anche dopo la GDPR e definire un eventuale programma di raccolta aggiornato secondo le nuove regole.

Il piano dovrà prevedere una nuova informativa e tutte le altre caratteristiche necessarie, già introdotte.

Il Data Protection Officer, la nuova figura aziendale: nomina e responsabilità.

Chi è il Data Protection Officer?

È un soggetto che, per competenza, conoscenze ed esperienza è incaricato di sorvegliare e promuovere il rispetto del regolamento europeo all’interno di un’azienda o di un’organizzazione.

Il DPO avrà l’incarico di supportare il titolare in una serie di attività e decisioni relative alla privacy e al trattamento dei dati.

I requisiti fondamentali del Data Protection Officer sono:

  • la conoscenza della normativa e delle best practices esistenti in materia di protezione dei dati;
  • la conoscenza specialistica del settore in cui opera l’organizzazione;
  • L’indipendenza e l’autorevolezza per svolgere i propri compiti.

 Qual è il ruolo del DPO?

Il DPO ha il ruolo fondamentale di vigilare sul rispetto della normativa privacy all’interno dell’azienda.

Una volta nominato, il responsabile protezione dati dovrà:

  • Fornire consulenza sugli obblighi che derivano dalla normativa privacy, coinvolgendo il titolare dell’azienda e tutti i soggetti incaricati nel trattamento dei dati;
  • Vigilare sul rispetto della norma privacy, ad esempio sulla corretta attribuzione delle responsabilità, sulla formazione e sulla sensibilizzazione del personale;
  • Fornire un parere in merito alla valutazione di impatto sulla protezione dei dati;
  • Cooperare con le autorità di controllo (Garante Privacy) e fungere da contatto per le questioni connesse al trattamento;
  • Fungere da interlocutore per tutti gli interessati (i soggetti a cui si riferiscono i dati) sia per questioni relative al trattamento dei loro dati personali che per l’esercizio dei propri diritti.

 Il Data Protection Officer è obbligatorio per la tua azienda?

Il regolamento sulla protezione dei dati GDPR indica che il Data Protection Officer non è sempre obbligatorio in tutte le aziende, ma è previsto per i seguenti casi:

  • Le aziende o organizzazioni le cui attività principali consistono in trattamenti di dati che, per loro natura, ambito di applicazione e finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • Le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali quali quelli di tipo sensibile, di tipo genetico, biometrico, o di dati relativi a condanne penali e a reati;
  • Le autorità pubbliche o gli organismi pubblici, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali.

Nomina del Data Protection Officer. DPO interno o DPO esterno?

Il Regolamento Europeo Privacy prevede la possibilità di designare un:

  • DPO interno tra i propri dipendenti;
  • DPO esterno cioè un professionista esterno specializzato.

In qualsiasi caso, è di fondamentale importanza che non sussistano dei conflitti di interessi tra il ruolo che il soggetto ricopre e i compiti che gli saranno attribuiti come DPO.

Prima di formalizzare la nomina, è necessario verificare le qualità professionali, la conoscenza della normativa e delle prassi, nonché le effettive capacità di assolvere i compiti assegnati. Da parte sua, l’azienda o l’organizzazione deve fornire tutte le risorse umane e finanziarie necessarie affinché il DPO possa assolvere ai suoi compiti.

Che cos’è il Registro dei trattamenti?

Il Regolamento Europeo 2016/679 prevede, all’articolo 30, un importante strumento di compliance aziendale, in materia di dati personali: il registro delle attività di trattamento dei dati personali.

Tenuto anche in formato elettronico dal Titolare del trattamento dei dati, tale registro dovrà essere messo a disposizione dell’Autorità Garante qualora lo richieda, così come è previsto dal par. 4 dell’art. 30: “su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.”

Cosa deve contenere il registro del trattamento dati?

  • Il nome e i dati di contatto del titolare del trattamento e, se presente, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • Le finalità del trattamento;
  • La descrizione delle categorie di interessati e delle categorie di dati personali;
  • Le categorie di destinatari a cui i dati personali siano stati o saranno comunicati, compresi i destinatari di paesi terzi;
  • Se presenti, i trasferimenti di dati personali verso paesi terzi e la loro identificazione;
  • I termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • Una descrizione generale delle misure di sicurezza tecniche e organizzative.

Questo registro rappresenta dunque una delle novità e, al tempo stesso, uno degli adempimenti più importanti concernenti le attività di trattamento.

Così, al titolare del trattamento è imposto l’obbligo di documentazione della conformità della propria organizzazione alle prescrizioni della legge; quest’obbligo grava anche sul responsabile, per i trattamenti che questi svolga per conto di un titolare.

 Chi deve dotarsi del Registro del trattamento dei dati?

L’obbligo di redazione e adozione del registro non è generale: infatti il par. 5 dell’art. 30 specifica che esso non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”

Inoltre, non bisogna ritenere che l’adozione del registro sia un mero obbligo, infatti la sua redazione potrebbe avere anche scopi ulteriori:

  • Diffondere informazione, consapevolezza e condivisione interna;
  • Costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati.

E se le aziende non rispettassero la nuova GDRP?

Nel caso di inadempienza, sono previste sanzioni più pesanti di quelle attuali.

Il limite massimo sarà stabilito, di volta in volta, dalle autorità nazionali, in Italia sarà il Garante per la protezione dei dati e i giudici.

Le ammende potranno essere di due tipi:

  • Se l’inadempiente è un’azienda singola, cioè non è parte di gruppi, la sanzione massima arriva a 20 milioni di euro;
  • Se l’autore della sanzione fa parte di un gruppo, la sanzione viene calcolata in base percentuale sul fatturato dell’intero gruppo fino al 4% del fatturato mondiale.

Sicuramente le ammende sono molto alte anche se bisogna tenere presente che queste saranno le soglie massime, nello specifico la sanzione applicata sarà valutata singolarmente caso per caso.

In generale è sempre raccomandabile avvalersi di un esperto in materia che consigli alle aziende quale strada intraprendere per non incorrere in sanzioni, talvolta pesanti.

 

Per saperne di più contatta redazione@fastexperts.it

Potrebbe interessarti anche:

Linee guida di Enea: le 10 cose da sapere per una corretta strategia di diagnosi del monitoraggio energetico e non incorrere in errori.

Perché la digitalizzazione rappresenta un’opportunità unica per le aziende?

Ti è stato utile questo articolo?

Clicca su una stella e vota l'articolo!

Voto medio 0 / 5. Risultato: 0

Questo articolo non è ancora stato votato. Votalo per primo!

SHARE