La scadenza per adeguarsi al GDPR 2018 sulla privacy è il 25 maggio 2018; questa data si avvicina sempre di più e molti mi chiedono cosa fare per evitare sanzioni. In questo articolo affrontiamo l'argomento del nuovo regolamento europeo sulla privacy.
Il GDPR privcacy è il regolamento europeo privacy, letteralmente "General Data Protection Regulation" ovvero Regolamento Generale per la protezione dei dati. Anche se il termine regolamento può far pensare ad una preoccupazione più degli uffici legali che di altri, la nuova normativa europea vuole tutelare i dati degli utenti.
Il regolamento è stato predisposto dal legislatore per essere applicabile in tutti gli Stati dell'UE senza necessità di una specifica norma di attuazione in ogni nazione. In questo modo dal 25 maggio 2018 si crea un uinico regime di protezione dei dati in tutto il territorio dell'UE.
Il regolamento si applica ai dati dei residenti nell'Unione Europea inoltre, a differenza dell'attuale direttiva in vigore, il regolamento si applica anche a imprese ed enti organizzazioni in generale con sede legale fuori dall'UE che trattano dati personali di residenti nell'Unione Europea.
Le aziende sono chiamate ad adottarne le direttive entro il 25 maggio 2018. Dal 25 maggio 2018 il GDPR andrà a sostituire la direttiva sulla protezione dei dati ufficialmente Direttiva 95/46/EC istituita nel 1995 abrogherà le norme del Codice per la protezione dei dati personali DLGS.
Sopra i 250 dipendenti occorre tenere il registro delle attività di trattamento. Trattasi di un documento in cui il responsabile deve dichiarare le attività compiute con i dati degli stakeholders.
Questo obbligo non si applica solo alle grandi imprese ma anche a chi tratta dati sensibili o ad alto rischio. Nonostante non sia obbligatorio per molti sarebbe comunque consigliato per tutti redarre un documento in cui si indicano i dati raccolti e le finalità del trattamento perchè questo renderebbe più trasparente la gestione dei dati in linea con lo spirito del regolamento.
Il principio è quello della responsabilizzazione del personale. I responsabili del trattamento devono mettere in atto tutte le misure tecniche e organizzative necessarie per assicurare, ed essere in grado di dimostrare, che la raccolta e l’utilizzo dei dati siano conformi alle nuove regole. Per farlo, oltre ai documenti cartacei e la parte più burocratica, è utile ad esempio prevedere della formazione interna che interessi tutti i settori e responsabilizzi il personale alla sicurezza dei dati personali e promuova una cultura della privacy.
La logica è quella del "pensaci prima" e quindi "organizzati per tutte le situazioni prima che capitino". Un po' semplicistico ma il documento di impatto è proprio la valutazione preventiva dei rischi e delle conseguenze che una violazione potrebbe avere per gli utenti i cui dati si riferiscono, un documento da predisporre e seguire poi in caso di necessità. Ad esempio rispondere a queste domande sarebbe un ottimo inizio:
In America è piuttosto normale che un'azienda i cui sistemi siano stati violati lo ammetta, molto meno in Europa. Se l'esame preventiva dei rischi non fosse stato sufficiente a prevenire una violazione dei dati personali il titolare del trattamento ha il dovere di comunicare la violazione all'autorità di controllo, entro 72 ore da quando ne è venuto a conoscenza.
Il nuovo GDPR 2018 dispone che l’interesse legittimo del titolare (anche quello per finalità di marketing diretto) può costituire una base giuridica sufficiente per consentire il trattamento. Ciò significa che una prevalenza del legittimo interesse del titolare, che tra l’altro potrà essere valutata autonomamente dal titolare stesso, sarà in grado di escludere la necessità di richiedere un esplicito consenso dell’interessato.
Questa apertura però viene compensata con due restrizioni significative. Il titolare deve utilizzare il minor numero di dati possibili da conservare per il minor tempo possibile per le finalità del trattamento. Questo esclude ad esempio l'iscrizione automatica ad una newsletter di tutti quelli che usano il contact form di un sito. Dall'altra aumentano i diritti degli interessati
Al punto 7 del regolamento si legge la frase che più di tutte sintetizza lo spirito della norma: "è opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche".
Il GDPR prevede che l'interessato abbia diritto all'informazione, il diritto all'accesso, alla rettifica e alla cancellazione dei dati che lo riguardano nonché il diritto di limitare il trattamento dei propri dati e il diritto di opposizione.
Cosa rischia chi non si adegua al GDPR 2018 entro la scadenza del 25 maggio 2018? Questa è una delle domande più frequenti la cui risposta in effetti attira l'attenzione di chiunque. Le sanzioni arrivano fino a 20 milioni o il 4% del fatturato annuo se superiore.
Le sanzioni sono molto elevate, forse per far interessare anche i colossi alla questione, ma sono pensate per incentivare il rispetto delle norme e creare un mercato digitale europeo uniforme.
Se si stima che il 50% delle aziende non sia in regola, probabilmente nell'ambito no-profit la percentuale cresce al 99%. Complice il budget quasi nullo in cui versano ONLUS e ONG, tutto si complica dove la possibilità di ingaggiare esperti del settore è limitata da una scarsa liquidità. Il no-profit investe quasi tutte le risorse nei progetti, dimenticando molto spesso i costi di struttura che permettono all'organizzazione di restare al passo con i tempi che cambiano. Eppure il no-profit è proprio il settore in cui il GDPR 2018 ha maggiore impatto perchè queste organizzazioni sono proprio quelle che di sicuro hanno a che fare con persone fisiche e di conseguenza ne trattano i relativi dati, spesso sensibili.
Per proteggere i diritti delle persone che forniscono i propri dati occorre seguire i 10 consigli che seguono:
Se vuoi scaricare il GDPR 2018 gratuitamente clicca qui per la versione italiana.
Come avrai intuito l'argomento è molto complesso ed ampio, indubbiamente in un migliaio di parole non si è detto tutto ciò che è scritto in centinaia di pagine, per questo mi farebbe piacere se volessi integrare quello che ritieni importante scrivendolo qui sotto nei commenti.
Articolo di Marco Galassi fonte filodiritto
Prendi appuntamento e spiegaci il tuo progetto, valutiamo assieme cosa serve per realizzarlo e come ottimizzare budget e tempo per farlo.
Implementiamo Google Workspace nelle aziende e nelle organizzazioni curando tutte le attività connesse tra cui migrazione e formazione interna.
Realizziamo campagne di email marketing utilizzando le piattaforme del settore.
Realizziamo siti web utilizzando un CMS, in questo modo il cliuente potrà espandere il sito in futuro o modificarlo attraverso interfacce facili da usare.
Crediamo nel lavoro remoto e nella collaborazione a distanza. Per essere efficienti occorrono strumenti all'altezza come Google Workspace, il pacchetto di Google per aziende e professionisti.
Utilizziamo un'infrastruttura informatica conforme alle normative del GDPR all'interno dello spazio della zona europa.