Le imprese
La protezione dei dati

Gdpr, cosa è cambiato davvero per le aziende

5 giugno 2018


Gdpr, cosa è cambiato davvero per le aziende

Per prima cosa con il nuovo Regolamento è cambiato in maniera radicale l’approccio alla protezione dei dati: adesso a guidare le aziende dovrà essere il principio di responsabilizzazione (“accountability”) sul tema all’interno delle loro attività e non il semplice rispetto degli obblighi formali.

Per capire la portata del Regolamento basti evidenziare che si applica integralmente anche alle imprese che hanno la sede fuori dall’Unione europea ma che offrono servizi o prodotti a persone presenti nel territorio dell’UE o ne monitorano il comportamento.

Per continuare, ogni utente dovrà ricevere informazioni chiare sull’utilizzo che viene fatto dei suoi dati personali, potrà trasferirli da un titolare del trattamento ad un altro, compresi quelli dei social network (“diritto alla portabilità dei dati”), e vedrà rafforzato il suo diritto di far cancellare, anche on line, le informazioni non più necessarie rispetto alle finalità per le quali sono state raccolte (“diritto all’oblio”).

Sempre per illustrare i principali concetti del nuovo Regolamento, si deve ricordare che ha introdotto i concetti di “privacy by design” e di “privacy by default”: le garanzie a tutela degli utenti dovranno essere considerate già in fase di progettazione dei prodotti. Inoltre, il consenso all’uso dei dati dovrà essere ancora più specifico per ogni servizio reso. Chi tratta dati degli utenti in caso di furti, diffusione illecita o perdite di dati (data breach) ha l’obbligo di informare subito le autorità garanti e, nei casi più gravi, gli stessi interessati. Le sanzioni per chi non rispetta le regole potranno arrivare fino al 4 per cento del fatturato globale annuo.

Da notare anche che tutte le autorità di protezione dati dei Paesi Ue, alle quali è affidato il compito di vigilare sull’attuazione del Regolamento, avranno gli stessi poteri e gli stessi compiti, per garantire un’applicazione realmente uniforme ed efficace nell’intera Unione Europea. Con il General Data Protection Regulation l’Unione ha infatti voluto introdurre nuove regole in materia di dati personali e libera circolazione degli stessi.

Ad aiutare sia le imprese, che i professionisti e i consumatori nell’analisi di cosa cambia e quali sono le novità previste con l’entrata in vigore del testo del GDPR del 25 maggio 2018 è il Garante per la protezione dei dati personali, con una guida ai punti più importanti della riforma UE.

Tra le principali novità ci sono quelle relative all’informativa e al consenso. Dovrà essere chiara e di facile comprensione e per fare ciò si potrà fare uso anche di icone. La finalità della raccolta dei dati deve essere sempre comunicata all’utente e, prima di qualsiasi azione, deve essere stato accordato il consenso al trattamento dei dati personali, che dovrà essere preventivo e inequivocabile, così come previsto già oggi. È cambiata, però, la modalità di esprimerlo: non varrà mai la regola del ‘chi tace acconsente’ ma il consenso dovrà essere esplicito.

Ad esempio, se un’azienda ha già raccolto il consenso utilizzando caselle precompilate dovrà chiedere ai clienti già consenzienti l’autorizzazione al trattamento dei dati utilizzando le nuove modalità previste dal Gdpr. Il nuovo regolamento ha previsto anche modifiche nella modalità di raccolta del consenso in caso di minori per la fruizione di servizi su internet e social media: per chi ha meno di 16 anni è necessario il consenso al trattamento dei genitori o di chi esercita la potestà genitoriale.

Particolare attenzione va poi riservata anche al diritto all’oblio. L’utente potrà richiedere la cancellazione dei propri dati personali online nei casi in cui i dati siano trattati sulla base del consenso o anche se non sono più necessari per gli scopi rispetto ai quali sono stati raccolti o se sono trattati illecitamente. Il diritto all’oblio tuttavia sarà escluso qualora si tratti di informazioni di interesse generale o necessari per finalità storiche, statistiche o scientifiche.

È legata a questo tema anche un’altra novità del Gdpr: la conservazione dei dati dell’utente non potrà essere illimitata ma la durata del trattamento dovrà essere collegata alla finalità per la quale è stato richiesto il consenso.

Ecco un altro punto che ha sollevato le maggiori attenzioni: come ci si comporta in caso di violazione dei database? Il titolare del trattamento dei dati è tenuto a darne subito comunicazione all’Autorità Garante. Se la violazione dei dati rappresentasse una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come agirà per limitare le possibili conseguenze negative.

Tra le novità introdotte dal GDPR vi è il DPO (Data Protection Officer – Responsabile della protezione dei dati). La funzione di tale figura è necessaria quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni; quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono in utilizzi che, per loro natura, ambito di applicazione o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala e quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari/sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10. Il responsabile, inoltre, potrà esser nominato internamente o esternamente all’azienda e dovrà esser dotato di competenze giuridiche, informatiche, di gestione del rischio e analisi dei processi.

La nuova normativa ha introdotto anche l’obbligo di tenuta del registro dei trattamenti. All’interno di questo documento si devono indicare le caratteristiche del titolare del trattamento e del suo responsabile. Pur se obbligatorio solo per le aziende con più di 250 dipendenti, è consigliabile la sua tenuta da parte di tutti i titolari del trattamento a fini di controllo puntuale delle attività intraprese riguardanti la protezione dei dati personali. La sua tenuta è altresì obbligatoria se il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato ovvero qualora il trattamento non sia occasionale o se riguarda particolari tipologie di dati.

Recentemente Confindustria ha messo a disposizione delle sue associate un modello di registro del trattamento che ha avuto riscontro positivo da parte dell’Autorità Garante per la protezione dei dati personali.

 

 

 

lascia un commento

One thought on “Gdpr, cosa è cambiato davvero per le aziende”

  1. Giuseppe Gattullo scrive:

    Di quale sicurezza si parla? visto che in Itala mancano le reti, le piattaforme, e gli algoritmi e peggio ancora non si conoscono le finalità degli algoritmi stranieri.

Lascia una risposta

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Articoli correlati
Le imprese
Cresce il mercato dell’information security

14 marzo 2018

In Italia vale 1 miliardo di euro. Le aziende si stanno attrezzando per prevenire attacchi. Nel …
Le imprese
Regolamento europeo sulla protezione dei dati: cosa cambia per le piccole imprese

1 agosto 2017

di Filippo Astone, direttore, Industria Italiana. Mancano 301 giorni - ponendo il countdown al 1° di …