Cresce l’attenzione mediatica per il GDPR (General Data Protection Regulation) che troverà piena applicazione il prossimo 25 maggio 2018. Ma di cosa si tratta? Del Regolamento europeo in materia di trattamento dei dati personali pubblicato in gazzetta ufficiale già nel maggio 2016, che è stato istituito per tutelare le persone fisiche e il trattamento dei loro dati personali.
Dopo quella data, dunque, i controlli saranno più severi e le sanzioni potranno arrivare al 4% del fatturato mondiale annuo dichiarato. Cifre importanti che richiedono la messa in regola delle imprese e delle realtà della Pubblica Amministrazione che d’ora in poi dovranno prestare attenzione alla raccolta e al trattamento dei dati.
GDPR: di cosa parliamo
Il Regolamento Europeo in materia di protezione dei dati non è altro che un insieme di norme e indicazioni utili a regolamentare la raccolta, l’utilizzo e la libera circolazione di tutti i dati degli utenti (personali, giudiziari, bancari, particolari, ecc.) al fine da minimizzare il rischio di illeciti e di salvaguardare i diritti dei cittadini, dentro e fuori l’Unione Europea.
Una misura volta a consolidare la tutela della privacy affinando i sistemi di protezione e sicurezza dei dati, un’esigenza sempre più sentita a livello mondiale, anche per bloccare le minacce informatiche che divengono sempre più complesse.
GDPR: le novità
Il regolamento, inoltre, prevede l’istituzionalizzazione di alcune figure come il titolare del trattamento dei dati, il responsabile del trattamento e il responsabile della protezione dati, figura quest’ultima che diventerà obbligatoria nella Pubblica Amministrazione e nelle imprese private che trattano dati sensibili, che dovrà essere costantemente formato e aggiornato.
Il nuovo regolamento prevede alcune novità anche in merito al consenso. Il consenso dovrà essere libero, specifico, informato, documentato, revocabile, ma soprattutto inequivocabile. l titolare dei dati dovrà essere in grado di dimostrare di aver ottenuto il consenso dell\’interessato secondo i principi del Regolamento. Ma non basta. Il titolare dovrà poter dimostrare chi ha dato il consenso, in che momento (sembrano essere utili timestamp) e con quali modalità. Occorre anche precisare a quali trattamenti l’interessato ha prestato il proprio consenso.
Inoltre, introduce i concetti di privacy by design e privacy by default.
Il primo implica che il rispetto della privacy dell’utente debba essere prevista durante la fase progettuale, per esempio, evitando di rendere obbligatoria la compilazione di campi con dati ritenuti facoltativi.
Il secondo, invece, stabilisce che il trattamento dei dati debba avvenire solo quando strettamente necessario, quindi solo nella misura in cui sia sufficiente alle finalità previste e per un periodo circoscritto.
Le imprese avranno anche l’obbligo di rispettare il data breach, segnalando cioè all\’autorità competente per la Privacy eventuali fughe o compromissioni di dati che potrebbero ledere la libertà o i diritti degli interessati.
La raccolta dei dati dovrà inoltre prevedere pseudonimizzazione e cifrature, ovvero procedure che garantiscano l’impossibilità di identificare un utente attraverso le informazioni utili alla profilazione.
Nelle realtà professionali con più di 250 dipendenti entrerà in vigore anche l’obbligo a redigere il registro delle attività, su cui annotare policy aziendali e procedure dettagliate in materia di sicurezza e tutela della privacy.
Il regolamento obbliga imprese e PA a introdurre la valutazione di impatto privacy, un’indagine preventiva da attuare ogni volta che viene avviato un progetto nel quale sia prevista una qualsiasi forma di trattamento di dati. Viene sancito anche il diritto all’oblio nel caso in cui i termini del trattamento mutino.
GDPR compliance anche per le imprese Svizzere
Sono ancora molte le imprese, soprattutto in Svizzera, impreparate all’entrata in vigore del regolamento, che, benché inerente i paesi dell’UE, è molto chiaro in merito alle applicazioni. Il Regolamento, infatti, tutela tutti i cittadini residenti in UE, di conseguenza tutte le imprese, ovunque siano ubicate e ovunque siano situati i propri server, se trattano dati di cittadini residenti all’interno dell’UE, o comunque offrono servizi o prodotti all’interno del mercato UE dovranno uniformarsi, salvo incappare in pesanti sanzioni.
Parliamo di dati personali quando scaricando una app mobile sul nostro smarpthone inseriamo i nostri recapiti, o i contatti, quando creiamo un profilo su un social network, quando compiliamo un form per richiedere informazioni ad un’azienda, o ancora quando ci iscriviamo ad una NL. Attraverso la geolocalizzazione il nostro smartphone è sempre rintracciabile e quindi anche i nostri dati possono essere a rischio. Proprio in questi giorni stiamo assistendo ad una levata di scudi contro Facebook che non avrebbe protetto i dati di milioni di suoi utenti finiti nelle mani della società Cambridge Analitica.
I vantaggi del GDPR per gli utenti
L’attuazione del GDPR porterà un vantaggio, in termini di sicurezza e privacy per gli utenti, che vedranno i propri dati trattati in maniera più consapevole e sicura, e godranno di maggiori diritti e tutele in caso di violazioni, possibili a causa della mole sempre più numerosa di dati personali spesso sensibili che attraverso la rete vengono condivisi ogni giorno.
I vantaggi del GDPR per le aziende
Il regolamento mira innanzitutto a uniformare a livello europeo le diverse normative nazionali vigenti per garantire in ogni stato il medesimo trattamento, e arriva a coprire un vuoto legislativo non più gestibile, in un mercato tecnologicamente avanzato e dove la digitalizzazione dell’economia e delle imprese è divenuta un obbiettivo condiviso da tutti i governi. Sarà finalmente più chiaro quali dati possono essere raccolti in che misura
Per tutelare i diritti delle persone occorrerà dimostrare che i dati vengono utilizzati solo quando strettamente necessario e che vengono trattati con adeguati strumenti di sicurezza, le imprese dovranno attrezzarsi per attuare i nuovi processi, definendo le responsabilità e istruendo il responsabile. Per far ciò sarà utile dotarsi della consulenza di partner del settore IT capaci e affidabili, in grado di comprendere le misure necessarie e massimizzare gli sforzi per aiutarvi a essere in regola entro la data del 25 maggio 2018.
Continuate a seguirci per restare aggiornati e approfondire il Regolamento, le sue applicazioni e le modalità di attuazione, un argomento di grande attualità su cui la vostra impresa non può farsi trovare impreparata. Scopriremo insieme come essere in regola con il sito web aziendale, con i form per la richiesta informazioni, con la raccolta indirizzi per la creazione di mailing list o l’invio di newsletter. Stay tuned!
Disclaimer: il presente articolo ha valore di riflessione e non costituisce un riferimento legale.