La fatidica data del 25 maggio 2018 si avvicina e molti imprenditori e funzionari italiani non hanno ancora le idee chiare sul GDPR, il Regolamento dell’Unione Europea in materia di privacy e protezione dei dati personali che diventerà applicabile tra pochissimi giorni.
Non abbiamo la pretesa di essere esaustivi in una materia che è decisamente troppo vasta per essere sviscerata in poche righe, ma in questo post vogliamo di fare un po’ di chiarezza rispondendo, in maniera semplice e concisa, a 10 domande fondamentali sul GDPR.
1 Cos’è il GDPR?
G.D.P.R. è l’acronimo di General Data Protection Regulation ed è il Regolamento dell’Unione Europea n. 679/2016, adottato dal Parlamento Europeo e dal Consiglio, avente come oggetto la protezione delle persone fisiche in riferimento al trattamento dei dati personali e la circolazione dei dati all’interno dell’Unione. Il GDPR, insieme alla Direttiva UE 2016/680, è parte di un “pacchetto protezione dati”, elaborato allo scopo di stabilire una condotta comune all’interno dell’Unione Europea in materia di tutela e circolazione sicura dei dati personali.
2 Quando entra in vigore?
Il GDPR è già in vigore dal 24 maggio 2016 e sarà applicabile in Italia a partire dal 25 maggio 2018 (salvo proroghe).
3 Quali sono i soggetti interessati?
Il GDPR interessa in misura diversa tutte le imprese private e gli Enti pubblici, che dovranno mettere in atto una serie di procedure volte alla protezione dei dati sensibili dei loro dipendenti, clienti, fornitori, nonché dei dati di utenti esterni acquisiti attraverso internet.
Anche le aziende che non hanno sede nell’Unione Europea sono interessate dal GDPR se operano su dati personali di cittadini UE.
4 Chi è il Data Protection Officier e quali aziende devono averlo?
Il DPO (Data Protection Officier) è un professionista con competenze giuridiche e di analisi dei processi a cui viene affidato il compito di analizzare e organizzare la gestione del trattamento dei dati personali e la loro protezione all’interno di un’azienda (sia pubblica sia privata) nel rispetto della normativa.
Il DPO mantiene inoltre i contatti tra l’azienda e l’autorità di controllo nazionale (Garante Privacy).
La figura del DPO è obbligatoria per i seguenti soggetti:
- pubbliche amministrazioni ed Enti pubblici (ad eccezione delle autorità giudiziarie)
- aziende che come core business si occupano di acquisizione e gestione di dati personali su larga scala
- aziende la cui attività è incentrata sul trattamento su larga scala di cosiddetti dati sensibili (salute, giudiziari, biometrici, etc…)
5 Quali sono le sanzioni per le aziende e gli Enti non adempienti?
Sono previste sanzioni pecuniarie in caso di grave inadempienza o di Data Breach fino a 20 milioni di euro o al 4% sul fatturato dell’esercizio precedente.
Oltre alle sanzioni pecuniarie le autorità di controllo hanno poteri correttivi, ovvero possono limitare o vietare all’azienda un determinato trattamento dati, con conseguente economiche e reputazionali ancora più impattanti.
6 Cosa si intende per dati personali?
Sono dati personali tutte le informazioni che identificano o rendono identificabile una persona fisica (dati anagrafici, foto, indirizzo etc.) o che possono fornire dettagli sulle sue caratteristiche (abitudini, relazioni, stato di salute, situazione economica, religione, dati giudiziari, etc.).
Con il GDPR aumentano le categorie di dati che vengono considerate critiche per l’identificazione di un individuo.
7 Quali sono le principali novità introdotte dal GDPR?
Le novità introdotte dal GDPR sono moltissime, senza scendere troppo nel dettaglio, segnaliamo le principali:
- Principio di responsabilizzazione (accountability) ovvero i titolari del trattamento dovranno sempre assicurare il rispetto dei principi applicabili al trattamento dei dati personali
- Data Protection by Design ovvero la necessità di tenere conto del flusso dei dati e dei sistemi atti a garantirne protezione e portabilità fin dalla progettazione del servizio o del prodotto
- Valutazione preventiva di impatto del rischio sulla privacy principalmente nei casi in cui il rischio di violazione è molto elevato
- Obbligo di notifica in caso di violazione: eventuali violazioni dei dati devono essere notificate dal Titolare del trattamento all’autorità Garante e ai soggetti i cui dati sono stati violati entro 72 ore dal fatto
- Diritto all’oblio: l’utente ha diritto a richiedere in qualsiasi momento la cancellazione completa dei propri dati personali
- Portabilità dei dati: ovvero la possibilità per l’utente di richiedere una copia dei dati personali in formato elettronico utilizzabile e trasmissibile
8 Quali figure sono coinvolte?
- il Titolare: è titolare del trattamento dati personali la persona fisica o giuridica in quanto tale senza necessità di nomina, ad esempio, azienda l’azienda che raccoglie di dati ne è titolare in quanto tale
- il Responsabile: con il GDPR la nomina del Responsabile del trattamento dati personali diventa obbligatoria, in pratica è colui il quale elabora i dati per conto del titolare del trattamento;
- l’Incaricato: sono di fatto i dipendenti che trattano materialmente i dati. Nel GDPR questa figura non è esplicitamente menzionata ma la sua presenza viene richiesta implicitamente.
- l’Interessato: è la persona fisica a cui si riferiscono i dati.
- Data Protection Officier (DPO): figura professionale introdotta dal GDPR (rif. domanda 4)
9 Cosa si intende per consenso informato?
Il consenso informato è un argomento centrale nel GDPR e prevede che ogni cittadino, consapevole del valore effettivo dei propri dati personali, debba esprimere chiaramente il consenso al rilascio di tali dati, dopo essere stato informato, in maniera comprensibile, circa la finalità, il tempo e le modalità del trattamento.
Al cittadino inoltre viene data facoltà di richiedere in ogni momento l’elenco dei dati forniti e di pretenderne la cancellazione, poiché il GDPR introduce il Diritto all’oblio.
10 Cosa fare per adeguare la propria azienda al GDPR?
Il GDPR è un atto legislativo che impone obblighi vincolanti negli stati dell’UE coinvolgendo tutte le aziende e gli Enti pubblici. Inoltre è solo un primo passo verso ulteriori provvedimenti volti alla sicurezza e alla protezione dei dati personali, pertanto il primo consiglio che possiamo dare è di non fare finta di niente sperando che non arrivino i controlli, perché non adeguarsi significa restare in tempi brevi tagliati fuori dalle nuove regole del mercato europeo.
Aziende ed Enti devono procedere per prima cosa a un check up approfondito circa le loro modalità di acquisizione, trattamento e conservazione dei dati personali:
- Analisi delle modalità di raccolta dati (sito internet, e-commerce, raccolta fisica, ecc)
- Analisi del metodo utilizzato per la conservazione dei dati
- Analisi delle misure di sicurezza presenti in azienda per la protezione dei dati acquisiti
- Analisi dei flussi di dati
Dopodiché, individuate eventuali falle nella sicurezza nei processi è necessario intraprendere azioni finalizzate a rispettare quanto richiesto dal GDPR, tali azioni possono essere molto differenti tra azienda ed azienda perché diverse sono le aree di business e le tipologie di dati gestiti.
Per far fronte a tutte le possibili necessità e in ottemperanza a quanto richiesto dal Regolamento noi, che ci occupiamo di web da sempre, abbiamo stretto una collaborazione con uno Studio legale che sta seguendo con competenza specifica le implicazioni del GDPR per aziende ed Enti Pubblici e insieme abbiamo elaborato una strategia mirata ad aiutare aziende ed Enti a mettersi in regola sia on line sia off line.
Contattaci per conoscere la nostra strategia di adeguamento di aziende ad Enti Pubblici al GDPR
Fiorella Sina
Nea Mesa comunicazione