CR3ARE

, , - 7 Maggio 2018

GDPR: FACCIAMO CHIAREZZA!

Ultimamente si sente sempre più spesso parlare della “GDPR”, una criptica parolina che sta facendo tremare tutti coloro che trattano dati personali. Ma precisamente cos'è la GDPR? Cosa comporta? Quali sono le categorie interessate? Cerchiamo di fare un po' di chiarezza una volta per tutte!

GDPR: COS'È

La GDPR è un regolamento, in vigore a partire dal 25 Maggio, che (per fortuna o per sfortuna) unifica tutte le varie leggi europee riguardanti il trattamento dei dati personali. Finalmente sarà possibile avere il pieno controllo delle proprie informazioni personali, in modo molto più chiaro, limpido e immediato.

GDPR: IL REGOLAMENTO

A differenza di vari testi precedenti che rappresentavano semplicemente delle linee guida, la GDPR è un vero e proprio regolamento europeo, ed ha quindi valore vincolante essendo un atto legislativo dell'Unione Europea che deve essere recepito dai Paesi membri.

Tale regolamento è composto da 99 articoli e introduce alcune novità molto discusse. Ad esempio menziona per la prima volta il diritto all'oblio: un utente può fare richiesta formale di eliminazione di dati e/o informazioni relativi a se stesso. Altro aspetto interessante è la portabilità dei propri dati: si potranno finalmente scaricare e trasferire dati da una piattaforma all'altra. Infine, altra novità da evidenziare è l'obbligo del cosiddetto data breach: un'azienda che subisce una “fuga” di informazioni sarà obbligata a notificarlo ai proprio utenti immediatamente.

GDPR: COSA PREVEDE

E' arrivato il momento di analizzare un po' più nello specifico alcuni aspetti interessati dagli articoli del regolamento, in particolare: la richiesta di consenso in forma chiara (art. 7), l'istituzione di un registro delle attività (art. 30), la notifica delle violazioni entro 72 ore (art. 33) e la designazione di un “responsabile per la protezione dei dati” (art. 37).

L'art. 7, riferito al consenso, prevede che l'azienda chieda all'utente il via libera “ in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro”. L'art. 30, invece, obbliga i titolari dei dati a dotarsi di un registro delle attività in cui si elencano le finalità dell'elaborazione dei dati, i destinatari e l'eventuale scadenza per la loro cancellazione. L'art. 33 stabilisce che, in caso di data breach, il titolare dei dati deve comunicare l'accaduto “ entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. L'art. 37, infine, istituzionalizza a livello Europeo una figura già identificata e descritta in alcune legislazioni: il Data Protection Officer, figura professionale assunta da un'azienda o facente capo a una società esterna con il ruolo di vigilare sull'applicazione della GDPR da parte del suo titolare.

GDPR E LE AZIENDE

A differenza di quanto si pensa, la GDPR non riguarda soltanto il web: gli interessati sono tutti coloro che hanno a che fare con informazioni personali altrui. È il caso dunque di qualsiasi tipologia di azienda o professionista che abbia a che fare, ad esempio, con le informazioni dei dipendenti o dei propri clienti. Basti pensare alla mole di informazioni in possesso di un'azienda che si occupa di risorse umane... con la GDPR cambia completamente il modo di trattare i dati, e se ciò comporterà consistenti miglioramenti per le persone, per le realtà aziendali, al contrario, le cose si faranno più complicate.

LE SANZIONI

Su questo aspetto il regolamento è molto chiaro: la violazione dei principi espressi nella GDPR comporterà delle sanzioni, anche molto salate!

Le multe si dividono in due fasce:

  1. fino ad un massimo di 10 milioni di euro o il 2% del fatturato per le imprese (se superiore);
  2. fino ad un massimo di 20 milioni di euro o il 4% del fatturato in caso di violazioni gravi.

Ecco alcuni esempi per comprendere la differenza tra i due scaglioni:

  • in caso di mancata progettazione di infrastrutture atte alla protezione dei dati o di mancate misure adatte a garantire degli standard di sicurezza adeguati si rientrera nel primo scaglione.
  • in caso di violazione ai principi fondamentali del regolamento (ad esempio negazione al diritto d'oblio) si passa al secondo.

GDPR: È PREVISTO UN PERIODO DI TOLLERANZA?

Nonostante manchi davvero poco al giorno in cui questo regolamento entrerà in vigore, ad oggi non è totalmente chiaro se il Garante Italiano prevederà un periodo di tolleranza per questa fase di transizione. È però probabile che ci saranno ulteriori 6 mesi come ad esempio in Francia per adeguarsi: unico dettaglio, in caso di controllo bisognerà dimostrare che si sono avviate le procedure di adeguamento in modo serio e programmatico.

GDPR E SITI INTERNET

Attualmente le novità più salienti per i gestori di siti web sono le seguenti:

  1. l’obbligo di documentazione del Regolamento generale;
  2. la maggior complessità relativa all’autorizzazione;
  3. i principi del Privacy by Design e Privacy by Default;
  4. l’ampliamento del diritto di accesso all’informazione e del diritto di cancellazione;
  5. il diritto alla trasmissione dei dati;
  6. Maggiori e più chiari obblighi di informazione nei confronti degli utenti;
  7. il divieto di abbinare più consensi;
  8. multe molto salate.

Per mettere a norma i propri siti web, sarà dunque necessario rispettare le seguenti regole e attuare i seguenti procedimenti:

  1. determinare i procedimenti per una corretta documentazione per le operazioni che coinvolgono i dati personali;
  2. creare un archivio delle varie elaborazioni di dati;
  3. mettere a disposizione dei propri clienti delle possibilità di contatto per richieste di informazioni relative alla protezione dei dati;
  4. stabilire se sia necessario incaricare un garante della privacy;
  5. aggiornare l'informativa sulla privacy sul proprio sito conformemente alle nuove leggi;
  6. avviare delle consultazioni con il proprio responsabile del reparto tecnico e con il garante della privacy se le misure tecniche adottate per la protezione dati siano sufficienti o meno e , nel caso in cui risultino insufficienti, introdurre ulteriori misure o integrare meglio quelle presenti nella propria infrastruttura informatica;
  7. reperire in modo diverso tutti i dati raccolti che non rispettano il divieto di abbinare più consensi per poi registrarli come dati forniti volontariamente;
  8. accertare che le convenzioni del Regolamento generale sulla privacy dei dati siano rispettate nel caso in cui siano stati incaricati prestatori di servizi esterni per l’amministrazione dei dati personali dell'azienda;
  9. controllare il processo di ricezione dei consensi sul proprio sito online e adattare i procedimenti alle normative del GPDR;
  10. porre molta attenzione alle parti del Regolamento relative alla vita privata e alle comunicazioni elettroniche, poiché questo si occuperà anche di regolare il lavoro dei commercianti online con i tool specifici di analisi e di monitoraggio;

I passaggi, come è possibile notare, possono non risultare semplici: consigliamo dunque di richiedere consulenza professionale che garantisca il rispetto e l'attuazione di tutti gli articoli presenti nel regolamento che interessano nello specifico la tua azienda, la tua attività o il tuo sito web.

Condividi

© 2024 CR3ARE. ALL RIGHTS RESERVED | P.IVA 03294081207 | Privacy | Cookies