GDPR, il nuovo codice della privacy in vigore dal 25 maggio 2018

Dal 25 maggio 2018 si applica il Regolamento Europeo 2016/679 sulla privacy e la protezione dei dati personali. Ci sono degli obblighi in più rispetto alla vigente normativa. Ecco le linee guida e le cose più importanti da conoscere.

Il GDPR o General Data Protection Regulation[1], è il nuovo regolamento europeo sulla privacy e dati personali che dal 25 maggio di quest’anno è operativo per tutti i paesi della UE. Questo nuovo approccio al trattamento dati costringe aziende, professionisti e cittadini a cambiare l’approccio con la tutela dati di persone fisiche che entrano con essi in contatto (ad esempio dei clienti), adeguandosi a queste nuove, stringenti, regole.

I destinatari del nuovo regolamento sono tutti coloro che, nell’esercizio della propria attività lavorativa, utilizzano (trattano) i dati di altri individui. Tali soggetti sono definiti Titolari del trattamento dei dati, qualora essi stessi determinano, nell’ambito della loro organizzazione del lavoro, le finalità e i mezzi del trattamento dei dati personali; quando invece  tali soggetti trattano i dati per conto di un Titolare, sono definiti Responsabili del trattamento.  

Questo regolamento rende necessari degli adeguamenti soprattutto sul web: ad esempio tutti i siti che richiedono dati attraverso dei form (ad esempio di contatto) devono adeguarsi a questa normativa al più presto.

 

GDPR: la nuova normativa europea sulla privacy

La diffusione dei dati personali, soprattutto quando si parla di internet, crea non poche preoccupazioni agli utenti. La Comunità Europea ha voluto definire in modo più severo il loro trattamento, attraverso un primo Regolamento (UE 2016/679), approvato a maggio 2016, ma la cui applicazione scatta dal 25 maggio 2018.

Qusta è una data importante considerando che da questo giorno, com’è per ogni regolamento europeo, gli stati membri devono obbligatoriamente adeguarsi alla nuova normativa senza attendere che i singoli Stati recepiscano il nuovo Regolamento.

Questo documento, ribattezzato GDPR (General Data Protection Regulation) integra la precedente direttiva europea, la 96/45/CE, recepita con il Dlgs 196/2003 (il codice italiano della privacy).

Le principali novità introdotte dal GDPR

Il regolamento è composto da 99 articoli che istituiscono una serie di novità importanti, le maggiori delle quali sono:

  • il diritto all’oblio, ovvero alla cancellazione di informazioni a proprio riguardo dai database e dagli archivi di chi tratta i dati, quando il trattamento non è più necessario per le finalità per le quali il dato era stato acquisito.
  • la portabilità dei dati, ovvero il trasferimento dei propri dati da una piattaforma all’altra senza vincolarsi a un account preciso
  • comunicazione data breach, ovvero l’obbligo per le aziende che subiscono intrusioni nei database o “fughe di dati” a comunicarlo agli utenti nel giro di massimo 72 ore (art. 33).

Un’altra novità fondamentale riguarda il tipo di identificazione, pensata guardando al futuro. Infatti, il concetto di dati personali si allarga a tutto ciò che ti distingue in modo univoco, comprese le caratteristiche fisiche e fisiologiche, ossia:

  • i dati genetici, ereditati o acquisiti, ottenibili tramite analisi di DNA da campioni biologici;
  • i dati biometrici, come la scansione dell'iride o l'analisi facciale;
  • ogni informazione sul tuo stato di salute, mentale e fisica, passata, presente e futura.

I soggetti coinvolti nel nuovo regolamento GDPR

Il regolamento coinvolge tutti coloro che raccolgono dati personali.

L'esempio più semplice in questo senso è quello della newsletter. Se gestisci una mailing list di iscritti al tuo sito web, ad esempio, devi adeguarti al GDPR. Per le imprese, l'onere di gestione e di rispetto della normativa sarà maggiore quanto più grande è la dimensione aziendale. Inoltre, anche se possiedi uno studio professionale devi attenerti alla nuova normativa.

GDPR: responsabilità e modalità di protezione dei dati

Oggi più che mai, con l’approccio del nuovo Regolamento che prende spunto dal diritto anglosassone, l’autoresponsabilizzazione del soggetto che tratta i dati è ancora più sentita. Nel DLgs 196/2003 veniva indicata una figura, il responsable del trattamento dati, il quale si assumeva l’onere di fare da referente. Tuttavia era il Garante della Privacy a dare l’ultima parola su ogni questione.

Il GDPR si rafforza invece l’importanza questo ruolo aumentandone le mansioni e le responsabilità.

È infatti introdotto il concetto di Accountability, al quale fa capo sia il titolare del trattamento dati (ad esempio il datore di lavoro) che il responsabile della protezione degli stessi (art.37), il cosiddetto DPO (Data Protection Officer). Entrambi devono adempiere al GDPR e possono incorrere in sanzioni, in caso di mancato rispetto.

Il titolare, come principale responsabile, può scegliere tra due modalità di protezione dei dati:

  • privacy by design: si applica quando tutte le procedure ed i processi, dell'azienda o dell'ente pubblico, sono rivisti e corretti in funzione della protezione dei dati che in essi transitano; è un livello di sicurezza più alto ma, naturalmente, più costoso;
  • privacy by default: è il caso della protezione applicata esclusivamente ai dati oggetto del trattamento, senza stravolgere in modo importante le procedure aziendali.

Quali sono i principali obblighi del GDPR ai quali attenersi?

Fra gli obblighi più stringenti per aziende, professionisti e privati cittadini che gestiscono dati, ci sono:

  • La necessità di chiedere il consenso al trattamento dati in forma esplicita e chiara (art. 7). Non sono più valide, dunque, le informative sul trattamento dati che vengono diffuse oggi, redatte spesso in modo prolisso, molto tecnico, criptico.
  • La necessità di istituire un registro delle attività (art. 30) dove si elencano – ad esempio - le finalità dell’elaborazione dei dati, i destinatari dei dati, l’eventuale scadenza per la loro cancellazione.
  • L’obbligo di notificare qualsiasi violazione della sicurezza ai titolari dei dati entro 72 ore, a meno che i rischi per i diritti e la libertà delle persone siano improbabili.
  • La designazione di un DPO o responsabile della protezione dati.

Adeguarsi al GDPR: gli step fondamentali per studi e aziende

Si riassumono così gli step da seguire:

  • incrementare sensibilità e consapevolezza di dipendenti e collaboratori soprattutto sulla protezione degli strumenti di lavoro (ad esempio lasciare il PC sempre bloccato con password quando ci si allontana) perché l’accesso a un terminale collegato in rete potrebbe diventare una porta d’accesso ai dati personali custoditi nei database aziendali;
  • verificare il tipo di informazioni che si posseggono e si richiedono, controllando se vengono protetti con servizi e software adeguati, usando licenze corrette;
  • modificare le informative sulla privacy, usando informazioni chiare sul titolare del trattamento dati, sui contatti per modificarli o cancellarli, sulle motivazioni che portano a quel trattamento (consenso, contratto, ecc);
  • rispondere in tempi ragionevoli (massimo 30 giorni) a richieste di modifica o cancellazione dei dati, usando sempre termini chiari;
  • nominare il DPO, persona deputata a verificare l'osservanza interna del regolamento, tranne in due casi:
    • la tua impresa non monitora dati sensibili, come quelli sanitari, quelli relativi ad opinioni politiche, religiose o ad orientamenti sessuali;
    • sei titolare di uno studio professionale in forma individuale, impresa individuale o familiare, impresa che non tratta i dati personali come proprio core business;

in altre parole sono tenuti a nominare un DPO, ad esempio, istituti di credito, operatori del settore assicurativo (compagnie e intermediari) , istituti di vigilanza, sindacati, aziende di ricerca del personale, call center, aziende nel settore sanitario e tutta la PA;

  • creare un registro dei trattamenti, se l'impresa ha più di 250 dipendenti, da presentare all'autorità di controllo, nel quale sono indicate le finalità del trattamento, le categorie di interessati, le categorie a cui i dati sono destinati;
  • redigere un piano formativo che illustri rischi generali e specifici del trattamento dati, le misure da adottare, tecniche e informatiche; il Garante potrà chiedere informazioni su tale piano.

GDPR: sanzioni previste

Le più importanti sanzioni riguardano due casi:

  • mancata comunicazione in caso di Data Breach, con multe fino a 10 milioni di Euro, o per le imprese   fino al 2% del fatturato globale dell'ultimo esercizio per le imprese, se superiore. Tali importi raddoppiano se la violazione è avvenuta intenzionalmente
  • danno materiale o immateriale subito da un individuo per la violazione del regolamento: in tal caso si dovrà risarcire completamente il danno, tranne quando l'ente/impresa dimostri che il danno non è stato causato da una propria mancanza o da un proprio dolo.

Conclusioni e consigli finali

In questi mesi si è parlato moltissimo di GDPR, la nuova normativa sulla privacy obbliga tutte le aziende e gli studi che utilizzano dati sensibili ad adeguarsi alla normativa europea più stringente rispetto al “vecchio” codice della privacy italiano.

È bene sapere che:

  • Tutti sono interessati da questa nuova normativa e tenuti ad adeguarsi in tempi rapidissimi: se sei un professionista e hai un blog personale e chiedi i dati per l’iscrizione a una newsletter o se rappresenti una banca o un Ente pubblico, devi osservare le nuove regole allo stesso modo.
  • Occorre cambiare il documento informativo sulla privacy che si sottopone all’attenzione dell’utente che lascia i propri dati, uniformandolo alla nuova legge e rendendolo, cioè, più comprensibile, chiaro e snello.
  • Informare colleghi e dipendenti dell’importanza di proteggere i propri strumenti digitali di lavoro, specialmente se collegati a una rete comune (aziendale).
  • Istituire una procedura in caso di richiesta di cancellazione oppure di rettifica, in modo da rendere veloce ed efficaci le risposte.
  • Istituire una procedura per avvertire immediatamente i titolari dei dati in caso di intrusione o sospetta violazione della sicurezza dei dati conservati.

Fonti e approfondimenti per questo articolo:

Pronto, Protetto... Via!
Lavori, ti diverti e viaggi anche all'estero sempre al sicuro dagli infortuni, con soli 9,40€ al mese
Scopri i vantaggi