Il Regolamento Generale sulla protezione dei dati (GDPR - General Data Protection Regulation) entrerà in vigore il 25 Maggio 2018 in tutti i Paesi membri dell'Unione Europea. Il regolamento delinea un nuovo quadro normativo che dovrebbe portare maggiore uniformità e, soprattutto, dovrebbe essere più adatto alla rivoluzione portata dalle tecnologie digitali.

ll Regolamento Europeo Privacy o GDPR introdurrà nuove tutele a favore degli interessati, e inevitabilmente nuovi obblighi a carico di Titolari e Responsabili del trattamento di dati personali.

Le regole introdotte vogliono adattare la legislazione UE (in vigore da 19 anni) alle nuove tecnologie e all’uso sempre più disparato che si fa di internet. I dati presenti nella rete sono in continuo aumento e le connessioni tra i diversi Paesi del mondo sempre più fitte, per questo è stata anche regolamentata la diffusione di dati personali all’esterno dell’Unione Europea.

I dati su internet saranno inoltre maggiormente protetti con alcune restrizioni sui meccanismi di “profiling” e verrà introdotto l’obbligo di utilizzare un linguaggio chiaro nelle regole relative alla privacy. Chi fornisce servizi internet, infine, avrà bisogno di un consenso esplicito prima di utilizzare i dati personali dei clienti.

Per le piccole e medie imprese ci sono altre novità allettanti come tagli ai costi e burocrazie più snelle e fluide, che favoriscano lo sviluppo economico e del mercato digitale. Ad esempio cade l’obbligo di notifica alle autorità di vigilanza. Inoltre sarà possibile per le pmi addebitare un contributo a coloro che avanzano richieste di accesso ai dati giudicate infondate o eccessive. La figura del responsabile della protezione dati sarà facoltativa per le piccole-medio imprese così come lo sarà la valutazione dell’impatto, a meno che non sia presente un rischio particolarmente elevato.

Inoltre, le sanzioni arriveranno fino a 20 milioni di euro o al 4% del fatturato totale dei trasgressori, quindi possiamo sicuramente dire che fare le cose bene è nell’interesse di tutti.

Quali sono gli impatti principali sulle imprese?

1 – Individuazione dei soggetti a cui si applica il Regolamento

La legge applicabile è quella del soggetto i cui dati vengono raccolti. Social network, piattaforme web e motori di ricerca saranno quindi soggetti alla normativa europea anche se sono gestiti da società con sede fuori dall’UE. Con il nuovo regolamento viene abolita la figura del Titolare del Trattamento Dati e rimane solo la figura di Responsabile.

2 – Dovere di documentazione e informazione

Principio dell’accountability (responsabilità verificabile), secondo cui tutti i soggetti che partecipano al trattamento dati devono essere consci e responsabili e devono tenere documentazione di tutti i trattamenti effettuati. Chi non documenta, è soggetto a possibili sanzioni: a prescindere dall’utilizzo che si fa dei dati, è sufficiente non avere i documenti per essere perseguibili.

3 – L’informativa privacy

L'informativa deve essere leggibile, comunicativa, accessibile, concisa e scritta con linguaggio chiaro e semplice con un numero limitato di riferimenti normativi. Deve essere fornita per iscritto (oralmente va bene SOLO se l’interessato è d’accordo e la sua identità deve comunque essere comprovata con altri mezzi). Si propone anche l’utilizzo di icone per rendere l’informativa leggibile anche da parte di chi non conosce la lingua.

4 – Cambia il consenso

Ilconsenso deve essere libero, specifico, informato e inequivocabile. Il consenso è valido se la volontà è espressa in modo NON equivoco, anche con un’azione positiva: non ci deve essere per forza la casella di spunta, basta un testo in cui si informa che proseguendo si accetta il trattamento dati con link all’informativa.

5 – Valutazione d’impatto sulla protezione dei dati

Si effettua una valutazione degli impatti privacy analizzando i rischi, definendo i gap rispetto alla corretta gestione dei rischi, stabilendo un piano per colmarli e controllando annualmente gli effetti degli interventi per ridurre i rischi.

6 – Abolizione della notificazione

Non si dovrà più notificare il Garante, ma ogni anno l’azienda dovrà redigere il privacy impact assessment, con il quale si considera effettuata la notifica.

7 – Il Data Protection Officer

Bisogna istituire (per tutti gli enti pubblici e per aziende il cui core business coinvolge trattamenti di natura rischiosa) un responsabile per la protezione dei dati. Il DPO sarà una figura manageriale con rinnovo periodico, sarà referente del Garante e dovrà avere requisiti e competenze elevate. Il DPO potrà essere sia un dipendente che un collaboratore con regolare contratto.

8 – Privacy by design e Privacy by default

La privacy deve essere vista come un elemento iniziale: devo pensarci appena decido di raccogliere dati e predisporre alti livelli di privacy nel trattamento dati, che potranno essere abbassati dal diretto interessato.

9 – Obbligo di segnalazione in caso di violazione dei dati

Nel caso di violazione del trattamento dati bisogna effettuare una segnalazione al Garante entro 72 ore dall’evento e, nel più breve tempo possibile, bisogna informare anche i diretti interessati. Il mancato rispetto di quest’obbligo comporta sanzioni penali. È possibile prevedere delle assicurazioni per coprire il costo di comunicare la violazione a tutti gli interessati, definito Data Breach.

10 – Riconoscimento di nuovi diritti

Nuovi diritti: diritto alla portabilità dei dati (posso pretendere che il soggetto a cui ho concesso l’uso dei miei dati me li restituisca su un supporto elettronico strutturato così che io possa farne ulteriore uso, anche presso un altro fornitore), diritto a essere totalmente dimenticato da chi ha raccolto i miei dati.

Inoltre vi sono altre importati novità:

  • Vengono introdotte le definizioni di “Dato Generico” e “Dato Biometrico”
  • Introdotta la categoria del trattamento dati dei minori
  • Introduzione della Cotitolarità nel trattamento dei dati
  • Introduzione del Diritto all’Oblio
  • Introduzione della figura del Joint Controller
  • Introduzione di requisiti più stringenti per trasferire dati verso Paesi Terzi
  • Introduzione del principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni e servizi ai cittadini UE o tali da permettere il monitoraggio dei comportamenti dei cittadini dell’UE
  • Istituzione del Comitato Europeo per la protezione dei Dati
 
Le imprese -così come le pubbliche amministrazioni- avranno tempo fino al 24 Maggio 2018 per ripensare i processi di trattamento dei dati adattandosi a novità come le valutazioni di impatto e i sistemi di certificazione e di notificazione delle violazioni. Nei casi in cui sarà necessario, le aziende dovranno anche dotarsi di un privacy officer.
 
 
PARTECIPA AL NOSTRO SEMINARIO GRATUITO PREVISTO PER IL GIORNO 8 MAGGIO 2018 A ESTE (PD)