Cos’è il GDPR? Il GDPR è un regolamento della Commissione Europea in materia di protezione dei dati personali che diventerà ufficiale Il 25 maggio 2018 e rivoluzionerà il modo di trattare i dati personali grazie ai suoi obiettivi:
- Stabilire un maggior controllo sui dati;
- Migliorare la protezione dei dati e prevenirne la violazione;
- Incentivare procedure più trasparenti nella gestione dei dati.
Cos’è il GDPR?
GDPR significa General Data Protection Regulation, ossia il regolamento sulla protezione dei dati. Il regolamento al quale questo acronimo si riferisce è il Regolamento 2016/679 emanato dall’Unione Europea ad aprile del 2016. Questo stabilisce che tutti i paesi dell’Unione debbano adeguarsi ad alcuni accorgimenti relativi al trattamento dei dati personali che diventeranno più controllati a difesa degli utenti. L’esigenza di regolare questo circuito di raccolta, analisi e utilizzo dei dati nasce dalla continua evoluzione della società odierna che con tutti gli strumenti a sua disposizione, raccoglie i dati personali facendone un uso non ben dichiarato.
Cosa cambia con il GDPR?
Come dice il termine stesso “Informativa sulla privacy”, l’obiettivo di questa GDPR è proprio l’informazione. Così, la Privacy Policy non rappresenterà più un obbligo da parte dell’utente, un documento da accettare per poter proseguire con le operazioni che si stanno svolgendo bensì uno strumento che informa e spiega. Per questo motivo, in molti l’hanno definita un’informativa a strati: il concetto è che, per fasi, l’utente dovrà ricevere tutte le informazioni che lo avvisano dell’utilizzo che verrà fatto dei suoi dati. In uno step iniziale verranno fornite le principali nozioni in maniera concisa, trasparente e con un linguaggio di semplice comprensione per tutti (1° strato). In questo momento, si può far uso di icone standard per semplificare ancora di più quanto scritto. A questo testo è possibile inserire link che rimandano ad approfondimenti con riferimenti a norme giuridiche (2° strato) disponibili per chiunque volesse addentrarsi in questo fitto mondo della protezione della privacy.
Quali sono gli step per adeguarsi al GDPR?
Arrivare preparati al 25 maggio, giorno della grande rivoluzione, significa predisporre un piano di lavoro dettagliato che, step by step, descriva tutte le attività da seguire per poter migliorare ciò che è stato fatto in passato. La norma non si riferisce solo ai dati che verranno raccolti da questa data in poi ma anche quelli che sono stati raccolti prima. Così bisogna addentrarsi nei database per accertare il lavoro svolto in precedenza. Il tutto va riportato in un documento redatto in maniera leggibile e consultabile anche in futuro. All’interno bisognerà identificare, la tipologia, le finalità e le modalità del trattamento dei dati, l’identità e la localizzazione geografica delle parti terze ai quali sono stati ceduti e i soggetti che vi possono accedere. Al termine, potranno essere consultati i rischi ai quali sono esposti gli utenti i cui dati sono stati raccolti con modalità differenti rispetto a quelle della GDPR [Privacy Program. mailup.com]. Il programma di controllo va mantenuto in maniera costante.
Come si scrive la nuova informativa sulla privacy?
Dal momento in cui, l’Unione Europea sarà molto rigida e severa nei controlli, è bene tenere sott’occhio una lista di punti da smarcare all’interno della nuova informativa che va stilata entro il 25 maggio. Vediamola insieme [GDPR e Dati personali, mailup.com]:
- Le informazioni di contatto sul titolare del trattamento, quelli del suo rappresentante e del responsabile della protezione dei dati;
- L’obiettivo per il quale i dati vengono raccolti;
- L’eventuale decisione di trasferire i dati raccolti a terzi: la loro identità, le loro origini, le motivazioni di questa cessione e la decisione di adeguatezza della Commissione Europea;
- Il periodo temporale di conservazione dei dati;
- L’esistenza di operazioni automatizzate per cui è necessaria la raccolta dei dati e la spiegazione di quanto la possibilità di gestire queste logiche sia importante per un’azienda;
- L’obbligatorietà della fornitura dei dati: è obbligatorio fornire i dati personali? Se sì quali sono le conseguenza della mancata fornitura?
Infine, è giusto comunicare all’utente i diritti di cui può beneficiare che sono:
- Diritto di reclamo in caso di eventuali incongruenze o errori fra quanto dichiarato e quanto agito
- Diritto di revoca del consenso
- Diritto di accesso ai dati: l’utente può richiedere di prendere visione dei dati, modificarli e/o cancellarli
Come si raccoglie il consenso sul trattamento dei dati personali dal 25 maggio?
Raccogliere il consenso sul trattamento dei dati personali significa dare all’utente la possibilità di compiere un’azione positiva e non obbligata che non lascia spazio a congetture: pertanto l’accettazione da parte dell’utente deve essere dichiarata. Meglio evitare consensi impliciti: “niente supposizioni, solo dichiarazioni”.
Quali sono le sanzioni?
Il trasgressore, ovvero l’azienda o il professionista che scegli di non mettersi a norma con il GDPR può ricevere una sanzione pari al 4% del valore della propria azienda fino ad un massimo di 20 milioni di Euro. Il garante della Privacy ha il compito di controllare che tutte le società del territorio italiano siano conformi al GDPR.
Il lavoro è lungo ma se programmato bene si può fare nei tempi stabiliti dalla legge. Perciò, mettetevi all’opera e adeguate i vostri dati al nuovo Regolamento Europeo sul trattamento dei dati personali. Se preferite affidarvi a qualcuno che vi aiuti in questo percorso, cercate il vostro consulente di fiducia oppure nominate un DPO (Data Privacy Officer) che vi accompagni verso il cambiamento nella gestione della Privacy.