CHI SIAMO CONTATTI PRIVACY

GDPR, nuovo regolamento europeo per il trattamento dei dati

Il 25 maggio 2018 il Regolamento generale sulla protezione dei dati personali sarà ufficialmente operativo

Il prossimo 25 maggio sarà applicato il GDPR, General Data Protection Regulation o Regolamento generale sulla protezione dei dati personali. Tra qualche mese il Regolamento, già in vigore dal 2016, diverrà obbligatorio per tutti i soggetti che operano nel mercato europeo, anche se non appartenenti ad uno degli Stati Membri. La riforma sulla protezione dei dati sensibili sostituirà, quindi, la Direttiva 95/46/EC e abrogherà in Italia le norme del dlgs n.196/2003 che risulteranno incompatibili con esso.

L'oro nero

"I dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer." Definizione della Commissione Europea

È l'Industry 4.0, bellezza e tu non puoi farci niente! Direbbe qualcuno parafrasando la celebre battuta di Humphrey Bogart nel film “L'ultima minaccia”. È l'economia dei Big Data, degli algoritmi predittivi, dell'Internet Of Things, dell'Intelligenza Artificiale, in cui l'oro nero è rappresentato dai dati che dicono alle aziende tutto di noi, chi siamo, dove abitiamo, cosa, come, quando e perché consumiamo, e in cui a farla da padroni, inevitabilmente, sono le grandi multinazionali in grado di raccogliere e controllarle quelle informazioni e, anche, di rivenderle, da Google ad Amazon, da Facebook a Microsoft. Un tesoro inestimabile, dunque, che chiama in causa questioni etiche, economiche e giuridiche. Oggi è obbligatorio ripensare alla gestione dei dati per tutelare tanto le persone fisiche quanto quelle giuridiche, ma anche per aiutare le aziende che con i dati lavorano a muoversi in un mercato più sicuro e trasparente.

Che cos'è il GDPR

Il GDPR è un testo di legge che fornisce, dopo anni di silenzi, contraddizioni e vuoti normativi, una governance uniforme e adeguata, un insieme unico di regole, senza barriere giuridiche tra i vari paesi europei, per le aziende che raccolgono e trattano dati e informazioni sensibili. Al suo interno sono esplicitati ruoli, principi e questioni applicative per ridefinire dalle fondamenta le attività di gestione ed elaborazione dati, propri e di terzi. Questo regolamento pone un'interessante novità ovvero un cambio di prospettiva rispetto alla direttiva precedente: i legislatori non si sono focalizzati sui diritti del soggetto interessato, ma sui doveri del responsabile del trattamento dei dati personali, imponendo un cambio di rotta necessario soprattutto all'indomani dei gravissimi e sempre più frequenti attacchi informatici a danno degli utenti e delle aziende stesse, come i data breach contro Unicredit, Uber, Linkedin, Yahoo, JP Morgan, Sony PSN, solo per citarne alcuni.

Per la prima volta, si usano termini come responsabilizzazione e valutazione del rischio, si parla di sanzioni rigide “che possono raggiungere il 4% del volume globale d'affari” per chi non si adegua. Il regolamento europeo, da molti definito come lo statuto della Data Economy, obbliga le aziende a ripensare ai dati in chiave strategica, come uno strumento prezioso di crescita e di sviluppo in un ambiente competitivo. Non solo, ma fornisce indicazioni per prevenire cyber attacchi e violazioni nei database.

Punti chiave nel GDPR

Per semplificare i punti nodali del Regolamento partiamo dagli obblighi in carico alle imprese (vera novità del GDPR):

1. Informativa sulla privacy: a cambiare è innanzitutto il contenuto con la specifica di tempi di raccolta più tassativi, ad esempio, o con l'esplicitazione di tutti i passaggi previsti dalla raccolta, poi la forma, più chiara, concisa e intellegibile e la sua accessibilità che deve essere facile e immediata.

2. Consenso: deve essere esplicitamente dato per la raccolta dati e per tutti i singoli propositi per i quali vengono utilizzati. Deve essere evidenziato con termini chiari qualora si trovi in un documento dove sono presenti altre dichiarazioni. Per i minori, il consenso è valido solo se il minore ha 16 anni, in caso di età inferiore è necessario un genitore o un tutore. Il consenso deve essere provato e può anche essere ritirato o modificato.

3. Analisi del rischio: ogni impresa deve essere in grado di valutare lo stato di sicurezza delle informazioni in suo possesso e, di conseguenza, deve essere in grado, attraverso un attento e costante monitoraggio di gestire con efficienza e rapidità gli incidenti.

4. Obbligo di notificare i data breach: gli attacchi informatici devono essere notificati per tempo se non si vuole incorrere in pesanti sanzioni.

5. Profilazione: questa tipologia particolarmente invasiva di trattamento di dati, che riguardano aspetti personali, deve essere esplicitata e distinta da altre forme di trattamento non automatizzate, così come è necessario che venga fornito uno specifico consenso.

I diritti dell'interessato:

1. Diritto all'oblio: con la stessa facilità con cui l'interessato ha espresso il consenso, può appellarsi al diritto alla cancellazione di dati personali relativi a sé o a limitazioni e modifiche nel trattamento.

2. Portabilità: l'interessato ha il diritto di trasferire i propri dati da un sistema di trattamento elettronico a un altro senza alcun impedimento in un formato elettronico strutturato e di uso comune.

La figura del Data Privacy Offer

Considerati lo scopo e la natura della nomina, sono in gioco una miriade di questioni legate alla governance e a fattori umani che le organizzazioni e le aziende dovranno affrontare

Sarà obbligatorio per ogni azienda, pubblica o privata, che si occupa della raccolta e del trattamento di informazioni sensibili avere nel proprio organico la figura altamente esperta del Data Protection Officer (DPO) ovvero un responsabile della protezione dei dati a cui sarà affidato il delicato compito di predisporre un piano operativo per garantire la sicurezza delle informazioni e limitare i casi di data breach. Ma ecco in estrema sintesi e per facilità di comprensione, secondo l'art. 39 del Regolamento, i principali compiti richiesti al Responsabile della Protezione dei Dati:

1. informativo e consultivo a favore del titolare (data controller) e del responsabile (data processor) del trattamento dei dati sulle disposizioni previste dal GDPR, dall'Ue e dalle norme di ogni stato;

2. raccordo con l'Autorità Garante e con i responsabili dell'area trattamento dati;

3. controllo sull'osservanza del Regolamento al fine di evitare sanzioni. Non sono mancate dispute e controversie dopo l'entrata in vigore del GDPR, quali saranno poi le conseguenze effettive di un testo simile si potrà valutare solo con il tempo.

 

Quel che è certo è che molte aziende italiane sono ancora indietro nel processo di adeguamento previsto dalla normativa e in tema di cyber security e gestione trasparenti dei dati annaspano. Solo le imprese che vedranno nel GDPR non rigide norme cui adempiere per non incorrere in multe salate, ma un'opportunità per sviluppare nuove e più efficaci strategie commerciali grazie ad una maggiore consapevolezza dei rischi potranno far parte attiva del cambiamento inarrestabile che riguarda tutti.




TUTTI GLI ARTICOLI SMS MARKETING