12 giugno 2018
Il Regolamento Generale
sulla Protezione dei Dati (GDPR), entrato da pochi giorni in vigore (25 Maggio 2018) in tutti gli Stati
membri dell’Unione Europea, sostituisce la Direttiva
95/46/CE sulla Protezione dei Dati.
Le aziende, in seguito
all’introduzione della normativa, si sono dovute adeguare al GDPR. Le misure adottate devono
garantire sicurezza non solo nella fase
di raccolta ma anche in quelle di elaborazione
e conservazione dei dati.
Quali sono gli obbiettivi che si vogliono raggiungere
a seguito dell’adozione del GDPR?
·
assicurare un maggior controllo dei propri dati
personali ai cittadini dell’Unione europea;
·
uniformare il quadro normativo delle imprese che
gestiscono i dati dei cittadini;
Le novità introdotte
·
l’extraterritorialità, validità delle
norme all’interno di tutto il territorio dell’Unione e, anche extraeuropeo, nel
caso in cui i dati trattati riguardano un cittadino dell’Unione;
·
sanzioni, le
multe previste per le aziende che non rispettano il nuovo regolamento si attestano
fino al 4% del fatturato annuale globale o fino ai 20 milioni di euro. Le
violazioni di dati che compromettono i diritti e le libertà fondamentali degli
individui, vanno obbligatoriamente segnalati, da parte delle aziende, all’autorità
competente e ai soggetti interessati;
·
consenso al trattamento dei dati, chi si occupa della
raccolta e gestione dei dati personali è tenuto a specificare e chiarire agli
utenti le condizioni e i criteri alla base dell’attività del trattamento degli
stessi. È tassativo indicare i fini e le modalità del trattamento dei dati
richiesti all’utente e i tempi di conservazione;
Importanti sono
l’introduzione:
·
del diritto all’oblio, gli
utenti possono richiedere la cancellazione dei propri dati personali;
·
della portabilità dei dati,
comporta il diritto per gli utenti di ricevere i propri dati personali per trasmetterli a un altro
ente. Di conseguenza tali dati devono essere rilasciati in un formato leggibile da una macchina.
Un altro nuovo
concetto introdotto a seguito del GDPR è
quello di Privacy by Design. La protezione dei
dati deve essere incorporata nei prodotti e servizi già dalla fase di
progettazione degli stessi.
Alle aziende, è
inoltre richiesto di adottare sistemi per tutelare la privacy dei dati degli utenti grazie a sistemi di cifratura dei dati che ne permettono la lettura solo ai
soggetti autorizzati al trattamento.
Parliamo ora della
figura del Data Protection Officer, meglio noto come DPO. Si tratta di una figura introdotta dal Regolamento
generale sulla protezione dei dati, (UE)
2016/679 GDPR. Soggetto interno o
esterno all’azienda, col compito di monitorare regolarmente i dati trattati su
larga scala e tenuto a garantire la conformità al GDPR da parte di grandi aziende e enti
pubblici.
Quando la nomina di tale figura è obbligatoria?
La nomina del DPO è obbligatoria nei seguenti casi:
·
quando il trattamento è effettuato da un'autorità
pubblica o da un organismo pubblico,
eccettuate le autorità giurisdizionali quando esercitano le loro funzioni
giurisdizionali;
·
quando le attività principali del Titolare o responsabile del trattamento
consistono in trattamenti che, per loro natura e finalità richiedono il
sistematico monitoraggio degli interessati su larga scala;
·
quando le attività principali del Titolare o responsabile del trattamento o
consistono nel trattamento, su larga scala di particolari categorie di dati personali (art.9: dati particolari e
sensibili) o di dati relativi a condanne
penali e a reati (art. 10).
I Principali
compiti del DPO: art 39 del regolamento
Il DPO è incaricato di:
·
prestare consulenza al Titolare del
trattamento o al Responsabile del trattamento e ai dipendenti che eseguono il trattamento;
·
sorvegliare l'osservanza del presente regolamento in materia di protezione dei dati personali,
compresi l'attribuzione delle
responsabilità e la formazione del personale;
·
qualora gli venga richiesto deve presentare
un parere in merito alla
valutazione d'impatto sulla protezione dei dati;
·
Deve collaborare con l'autorità di controllo, Garante
privacy.
Gli adempimenti tassativi previsti dal
nuovo regolamento al quale le aziende hanno dovuto adeguarsi riguardano anche
il mondo web e il settore informatico.
Per le aziende
che si occupano di attività di marketing
gli adempimenti si moltiplicano in ragione dell’elevata mole di informazioni che vengono raccolte ai fini
dell’attività svolta. I database contenenti
elenchi infiniti di indirizzi e-mail di clienti sono un vero e proprio contenitore di dati personali.
È necessario chiarire che per dati personali s’intendono non solo i dati sensibili (indirizzo, numero telefonico) ma anche dati digitali quali tracciamento
cookie, geo-localizzazione, e-mail e indirizzi IP.
Per poter procedere alla raccolta, online e offline,
dei dati personali di un utente, è
necessario il consenso esplicito e
tracciabile di quest’ultimo. Soluzione più adeguata è l’introduzione del double opt-in, doppio consenso (tramite
flag e successivamente con una mail di conferma), con cui l’utente accetta
due volte l’iscrizione al servizio es. per l’iscrizione alla newsletter. Inoltre, deve essere data
la possibilità all’utente di poter modificare o negare il consenso al trattamento dei dati in
maniera chiara ed intuitiva.
Anche il form
di raccolta dati per richiedere i servizi, spesso inserito nella maggior
parte dei siti presenti in rete, per essere allineato alle disposizioni
previste dal GDPR, deve essere chiaro e facilmente accessibile.
I dati raccolti
devono essere pertinenti e limitati alle finalità
per cui vengono richiesti e trattati.
In merito ai form di contatto, è molto
importante che la spunta della
casella es. per l’iscrizione alla newsletter, non sia precompilata.
In caso di implementazione e aggiornamenti di
servizi e funzioni del sito web, che
richiedono l’utilizzo dei dati degli utenti, è necessario richiedere un nuovo consenso. Infatti, ai fini del GDPR, i dati possono essere raccolti e
utilizzati solo per gli specifici scopi
esplicitati nel consenso.