La scadenza per adeguarsi al GDPR 2018 sulla privacy è il 25 maggio 2018; questa data si avvicina sempre di più e molti mi chiedono cosa fare per evitare sanzioni. In questo articolo affrontiamo l'argomento del nuovo regolamento europeo sulla privacy.

GDPR, tutto ciò che c’è da sapere per essere in regola

Il GDPR privcacy è il regolamento europeo privacy, letteralmente "General Data Protection Regulation" ovvero Regolamento Generale per la protezione dei dati. Anche se il termine regolamento può far pensare ad una preoccupazione più degli uffici legali che di altri, la nuova normativa europea vuole tutelare i dati degli utenti.

Il regolamento è stato predisposto dal legislatore per essere applicabile in tutti gli Stati dell'UE senza necessità di una specifica norma di attuazione in ogni nazione. In questo modo dal 25 maggio 2018 si crea un uinico regime di protezione dei dati in tutto il territorio dell'UE.

Il regolamento si applica ai dati dei residenti nell'Unione Europea inoltre, a differenza dell'attuale direttiva in vigore, il regolamento si applica anche a imprese ed enti organizzazioni in generale con sede legale fuori dall'UE che trattano dati personali di residenti nell'Unione Europea.

Adeguamento GDPR 2018 entro il 25 maggio 2018

Le aziende sono chiamate ad adottarne le direttive entro il 25 maggio 2018.  Dal 25 maggio 2018 il GDPR andrà a sostituire la direttiva sulla protezione dei dati ufficialmente Direttiva 95/46/EC istituita nel 1995 abrogherà le norme del Codice per la protezione dei dati personali DLGS.

GDPR cosa fare: da qui al maggio 2018 cosa fare

Il registro delle attività di trattamento

Sopra i 250 dipendenti occorre tenere il registro delle attività di trattamento. Trattasi di un documento in cui il responsabile deve dichiarare le attività compiute con i dati degli stakeholders.

Questo obbligo non si applica solo alle grandi imprese ma anche a chi tratta dati sensibili o ad alto rischio. Nonostante non sia obbligatorio per molti sarebbe comunque consigliato per tutti redarre un documento in cui si indicano i dati raccolti e le finalità del trattamento perchè questo renderebbe più trasparente la gestione dei dati in linea con lo spirito del regolamento.

Il principio dell'accountability

Il principio è quello della responsabilizzazione del personale. I responsabili del trattamento devono mettere in atto tutte le misure tecniche e organizzative necessarie per assicurare, ed essere in grado di dimostrare, che la raccolta e l’utilizzo dei dati siano conformi alle nuove regole. Per farlo, oltre ai documenti cartacei e la parte più burocratica, è utile ad esempio prevedere della formazione interna che interessi tutti i settori e responsabilizzi il personale alla sicurezza dei dati personali e promuova una cultura della privacy.

Documento DPIA (Data Protection Impact Assestment)

La logica è quella del "pensaci prima" e quindi "organizzati per tutte le situazioni prima che capitino". Un po' semplicistico ma il documento di impatto è proprio la valutazione preventiva dei rischi e delle conseguenze che una violazione potrebbe avere per gli utenti i cui dati si riferiscono, un documento da predisporre e seguire poi in caso di necessità. Ad esempio rispondere a queste domande sarebbe un ottimo inizio:

• Quali tipologie di dati potrebbero essere violati a seguito di un furto o di un hackeraggio?
• I dati sono cifrati o in chiaro?
• I dati sono facilmente riconducibili a persone fisiche?
• Quanto gravi potrebbero essere i danni alle persone fisiche se i loro dati fossero violati?

Obbligo di dichiarare le violazioni

In America è piuttosto normale che un'azienda i cui sistemi siano stati violati lo ammetta, molto meno in Europa. Se l'esame preventiva dei rischi non fosse stato sufficiente a prevenire una violazione dei dati personali il titolare del trattamento ha il dovere di comunicare la violazione all'autorità di controllo, entro 72 ore da quando ne è venuto a conoscenza.

Direct marketing senza consenso dell'utente

Il nuovo GDPR 2018 dispone che l’interesse legittimo del titolare (anche quello per finalità di marketing diretto) può costituire una base giuridica sufficiente per consentire il trattamento. Ciò significa che una prevalenza del legittimo interesse del titolare, che tra l’altro potrà essere valutata autonomamente dal titolare stesso, sarà in grado di escludere la necessità di richiedere un esplicito consenso dell’interessato.

Questa apertura però viene compensata con due restrizioni significative. Il titolare deve utilizzare il minor numero di dati possibili da conservare per il minor tempo possibile per le finalità del trattamento. Questo esclude ad esempio l'iscrizione automatica ad una newsletter di tutti quelli che usano il contact form di un sito. Dall'altra aumentano i diritti degli interessati

GDPR e diritto all’oblio

Al punto 7 del regolamento si legge la frase che più di tutte sintetizza lo spirito della norma: "è opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche".

Il GDPR prevede che l'interessato abbia diritto all'informazione, il diritto all'accesso, alla rettifica e alla cancellazione dei dati che lo riguardano nonché il diritto di limitare il trattamento dei propri dati e il diritto di opposizione.

GDPR 2018 sanzioni

Cosa rischia chi non si adegua al GDPR 2018 entro la scadenza del 25 maggio 2018? Questa è una delle domande più frequenti la cui risposta in effetti attira l'attenzione di chiunque. Le sanzioni arrivano fino a 20 milioni o il 4% del fatturato annuo se superiore.

Le sanzioni sono molto elevate, forse per far interessare anche i colossi alla questione, ma sono pensate per incentivare il rispetto delle norme e creare un mercato digitale europeo uniforme.

GDPR nel no-profit

Se si stima che il 50% delle aziende non sia in regola, probabilmente nell'ambito no-profit la percentuale cresce al 99%. Complice il budget quasi nullo in cui versano ONLUS e ONG, tutto si complica dove la possibilità di ingaggiare esperti del settore è limitata da una scarsa liquidità. Il no-profit investe quasi tutte le risorse nei progetti, dimenticando molto spesso i costi di struttura che permettono all'organizzazione di restare al passo con i tempi che cambiano. Eppure il no-profit è proprio il settore in cui il GDPR 2018 ha maggiore impatto perchè queste organizzazioni sono proprio quelle che di sicuro hanno a che fare con persone fisiche e di conseguenza ne trattano i relativi dati, spesso sensibili.

GDPR i 10 consigli per adeguarsi

Per proteggere i diritti delle persone che forniscono i propri dati occorre seguire i 10 consigli che seguono:

1. Usa un linguaggio semplice. Dì chi sei quando richiedi dei dati. Dì perché stai trattando quei dati, per quanto tempo verranno conservati e chi li riceve.
2. Ottieni il consenso esplicito per trattare i dati. Raccogli dati di minori per i social media? Controlla il limite d'età per il consenso dei genitori.
3. Consenti alle persone di accedere ai propri dati e di affidarli a un’altra azienda.
4. Informa le persone delle violazioni dei dati qualora vi sia il grave rischio che ciò avvenga.
5. Garantisci alle persone il diritto all’oblio. Elimina i dati personali di chi lo richiede, ma solo se ciò non compromette la libertà di espressione o la possibilità di svolgere ricerche.
6. Se usi la profilazione per trattare le richieste di accordi giuridicamente vincolanti, come i prestiti, devi: informare i clienti, assicurarti che sia una persona, non una macchina, a controllare il procedimento
   qualora la domanda venga rifiutata, garantire al richiedente il diritto a opporsi alla decisione.
7. Garantisci alle persone il diritto di rinunciare al marketing diretto che fai utilizzando i loro dati personali.
8. Utilizza misure di salvaguardia aggiuntive per le informazioni circa la salute, l'appartenenza etnica, l'orientamento sessuale, le credenze religiose e politiche.
9. Concludi accordi giuridici qualora tu trasferisca i dati in paesi che non sono stati approvati dalle autorità dell’UE.
10. Prevedi dispositivi di sicurezza per la protezione dei dati nei tuoi prodotti e servizi fin dalle prime fasi dello sviluppo.

GDPR pdf

Se vuoi scaricare il GDPR 2018 gratuitamente clicca qui per la versione italiana.

Contribuisci

Come avrai intuito l'argomento è molto complesso ed ampio, indubbiamente in un migliaio di parole non si è detto tutto ciò che è scritto in centinaia di pagine, per questo mi farebbe piacere se volessi integrare quello che ritieni importante scrivendolo qui sotto nei commenti.

Articolo di Marco Galassi fonte filodiritto