Grace & Partners

Dati personali: scatta il nuovo regolamento europeo.

In vigore dal 25 maggio, sostituisce le normative nazionali. Previsto il Data Protection Officer (Dpo) un professionista che farà da tramite tra l’azienda o l’ente pubblico e il Garante nazionale.

 

Dati personali: il nuovo regolamento

 

Dal 25 maggio 2018, entra in vigore il nuovo regolamento sulla protezione dei dati personali. Sostituisce tutte le normative presenti nei singoli Stati europei. Una guida per non farsi trovare impreparati.

Negli ultimi mesi si è sentito parlare parecchio del molto discusso Regolamento Ue 2016/679 sulla protezione dei dati personali, l’ormai celebre «Gdpr» (dall’inglese General Data Protection Regulation). Le aziende hanno avuto due anni di tempo per prepararsi e adesso siamo arrivati al momento «clou»: l’entrata in vigore. Il regolamento, infatti, è stato approvato ad aprile 2016, il testo è stato riportato in Gazzetta Ufficiale nel maggio dello stesso anno e dal  25 maggio le sue norme diventano vincolanti, anche a livello di sanzioni. Il Gdpr ha lo scopo di unificare il sistema di protezione dei dati in Europa, avendo come obiettivo la protezione accurata di dati personali e la definizione di una serie di misure per migliorare la trasparenza nel controllo e nella gestione dei dati. Oltre a volerne evitare la perdita, la manomissione e l’utilizzo non autorizzato (già presenti nella legge sulla privacy preesistente), si vuole garantire ai possessori dei dati (gli interessati) di esercitare in modo concreto un controllo preventivo e in corso d’opera sull’utilizzo da parte di aziende ed enti pubblici dei propri dati personali. La nuova normativa sostituisce tutte quelle presenti negli Stati membri della Ue e vede coinvolti tutti i soggetti: aziende, enti pubblici, e individui che devono accedere, trattare, conservare, gestire, o trasferire dati personali di cittadini Ue. Dal 25 maggio chi non sarà in regola, oltre a essere soggetto a sanzioni, potrà essere oggetto di esposti presso il Garante della privacy. Ma andiamo passo per passo. Che cosa bisogna fare, dunque, per essere in regola?

 

I dati personali, definizione

 

Sono dati personali le informazioni che identificano o rendono identificabile (attraverso una comparazione o una combinazione di informazioni) una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, etc.. Particolarmente importanti sono:
•I dati identificativi: quelli che permettono l’identificazione diretta, come i dati anagrafici (per esempio: nome e cognome), le immagini, ecc.;
•I dati sensibili: quelli che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale;
•I dati giudiziari: quelli che possono rivelare l’esistenza di provvedimenti giudiziari soggetti a iscrizione nel casellario giudiziale (come i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato.

 

Le novità del Regolamento / By Design e By Default

 

Rispetto alle normativa finora in vigore, il nuovo regolamento ha introdotto alcuni cambiamenti che è essenziale conoscere. Ecco un elenco sommario delle novità più rilevanti. In primo luogo, le aziende hanno l’obbligo di creare e adottare una propria «data protection» by design e by default. Ma cosa significa?
Per «by design» si intende l’obbligo da parte dell’azienda che intraprende un nuovo progetto di introdurre fin dall’inizio gli strumenti a tutela dei dati personali oltre che nell’esecuzione del trattamento. Cosa significa in concreto? Che, per esempio, nel momento in cui un’azienda decide di intraprendere una specifica campagna di marketing «push» (spinta) sui propri clienti e a maggior ragione su potenziali clienti (come nel caso di contatti raccolti attraverso il proprio sito istituzionale), dovrà preoccuparsi sin dalla fase di progettazione della campagna di raccogliere i consensi per l’invio di materiale marketing o sms o telefonate, e di garantire la sicurezza degli ulteriori dati personali raccolti durante la campagna.
Il «by default» prevede, invece, che le aziende trattino solamente i dati personali nella misura necessaria per le finalità previste e per il periodo strettamente necessario a tali fini.

 

 

Le novità del Regolamento / Registro delle attività e la figura del Dpo

 

La nuova normativa europea impone poi alle aziende di:

1) Adottare un registro delle attività. I titolari delle aziende possono decidere in modo autonomo modalità, garanzie e limiti del trattamento dei dati personali, e sono i titolari stessi che devono dimostrare di aver adottato le misure adeguate stabilite dal regolamento. Anche qui un esempio aiuta a chiarire. Un titolare, cioè un’azienda, che gestisce dati personali che non hanno profili critici (che non sono né sanitari né giudiziari) potrebbe decidere in totale autonomia di non rafforzare le misure di sicurezza esistenti perché le ritiene adeguate. Sarà poi lo stesso titolare che, su richiesta specifica, dovrà motivare in modo adeguato le sue scelte agli organi di controllo o agli interessati.

2) Introdurre la figura del Dpo, ovvero il Data Protection Officer. Si tratta di un professionista la cui nomina è obbligatoria in tre casi (art. 37 del Gdpr): a) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico; b) se i trattamenti consistono in attività di monitoraggio regolare e sistematico di interessati su larga scala (ad esempio videosorveglianza di luoghi pubblici); c)se le attività consistono in trattamenti su larga scala di categorie particolari di dati (genetici, biometrici, legati alla salute, all’orientamento sessuale o politico) o di dati personali relativi a condanne penali e reati. È, invece, facoltativa per tutti gli altri casi, fatto salva la necessità, da parte del titolare, di fare un’attenta analisi per verificare effettivamente che non sussistano le condizioni per l’introduzione del Dpo in azienda. Il Data Protection Officer dovrà sempre essere coinvolto in tutte le questioni riguardanti la protezione dei dati personali e sarà anche il tramite tra azienda e Autorità garante nazionale.

3) Verificare periodicamente i livelli di sicurezza e della protezione dei dati personali (Data Breach). Nel caso in cui l’azienda accerti che i dati personali trattati sono stati rubati, dovrà obbligatoriamente notificare quanto accaduto, entro e non oltre le 72 ore successive, alle autorità (Garante Privacy, esiste un modulo apposito per la segnalazione scaricabile dal sito del Garante) e ai soggetti interessati alla violazione (gli utenti i cui dati personali l’azienda tratta. Tale notifica è obbligatoria solo in caso di data breach di ampie dimensioni). Deve, inoltre, presentare alle stesse autorità un piano di come intende porre rimedio all’evento verificatosi.

 

Per chi non si adegua: sanzioni e richieste di adempimento

 

Sottrarsi agli obblighi può costare caro, sia in termini di denaro che di reputazione. Il Gdpr fissa, infatti, sanzioni per le aziende che non si adeguano alle misure previste. Le sanzioni saranno applicate ogni volta che verranno rilevate irregolarità nel trattamento dei dati personali. Per esempio, nel caso in cui il titolare mandi newsletter a una persona che abbia esplicitamente richiesto di non utilizzare più i propri dati di contatto per attività di marketing; le misure di sicurezza implementate risultino inadeguate al tipo di dati personali trattati; il titolare non abbia informato i propri dipendenti sulle modalità di trattamento dei propri dati personali per la compilazione delle buste paga o la conservazione dei dati di malattia o ferie…
È quindi sicuramente necessario che tutte le tipologie di aziende inizino a mettersi in regola con la nuova normativa per non rischiare sanzioni ed esposti: il Gdpr rappresenta un cambiamento radicale nella gestione dei dati personali. La normativa parla di «soluzioni adeguate» per la protezione dei dati personali. L’adeguatezza è valutata sia dal punto di vista dell’efficacia delle misure di protezione, sia dal punto di vista dell’efficacia delle misure di identificazione delle minacce e incidenti. In altre parole, non sono adeguato se non ho una protezione adeguata rispetto alle minacce più diffuse!
Fonte: Corriere della sera (di Marco Bavazzano)

Leave a comment:

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Top
benvenuto
La tua Agenzia
Creativa.
Progetti di alta qualità per clienti nazionali e internazionali. Richiedi ora informazioni su digitale, branding e storytelling.

GENERAL INQUIRIES
info@gracepartners.it

SOCIAL MEDIA