GDPR: ci si avvicina al 25 maggio 2018

GDPR

General Data Protection Regulation

Il GDPR (General Data Protection Regulation) entrerà in vigore a partire dal 25 maggio 2018.

Si tratta del nuovo Regolamento europeo sulla protezione dei dati e sulla gestione della privacy e prevede sostanziali cambiamenti nella struttura e nell’organizzazione del modo in cui vengono sviluppati, raccolti e trattati i dati personali degli utenti.

Dal 25 maggio tutte le realtà aziendali (piccole o grandi che siano) dovranno rispettare ciò che prevede il nuovo regolamento.

GDPR, cosa cambia?

Cambia l’informativa

L’informativa assumerà altra forma: dovrà essere più semplice da leggere e da comprendere per chiunque, soprattutto in caso di specifiche destinate ai minori. Non dovrà più essere una scrittura formale e burocratica ma trasparente e maggiormente accessibile.

Sarà necessario sensibilizzare le persone coinvolte riguardo la provenienza dei dati trattati e specificare il tempo della loro conservazione.

Cambiano le procedure per l’esercizio dei diritti degli interessati

Fino ad oggi valersi dei propri diritti di accesso, variazione o eliminazione dei propri dati risultava spesso non semplice e di difficile attuazione per la complessità nel richiedere informazioni verso chi aveva collezionato i dati.

Il nuovo Regolamento, invece, introduce nuovi criteri che facilitano queste operazioni, donando all’interessato maggiore accesso ai dati eventualmente per modificarli, eliminarli o esprimere la proprio volontà di opposizione. È obbligo di chi raccoglie i dati organizzare gli strumenti per recapitare tali richieste, soprattutto nel caso in cui i dati siano gestiti tramite piattaforme elettroniche.

Cambiano i sistemi per decidere a chi si applicano le norme

Prima di questo nuovo regolamento, se una società extraeuropea trattava i dati di cittadini europei doveva far riferimento alle leggi di chi raccoglieva i dati (cioè del titolare del trattamento).

Attraverso il GDPR, invece, è applicato il diritto dell’Unione Europea anche al trattamento dei dati personali non effettuati nell’UE, se correlati all’erogazione di beni o servizi a cittadini UE o che possano comportare l’osservazione dei loro modi di agire.

Rispetto alla norma antecedente (che applicava la normativa della località in cui ha sede il Titolare del trattamento), si tratta di un cambiamento epocale.

D’ora in poi anche le grandi multinazionali quali Facebook o Google dovranno rispettare le normative europee.

Cambiano le responsabilità a carico di chi tratta i dati: il nuovo criterio dell’accountability

Fino ad oggi i doveri in materia del trattamento dei dati personali si sviluppavano verso regole formali e verso chiari e lampanti abusi dei dati raccolti. Si veniva multati se le relative norme non erano state applicate e le autorità di controllo accertavano e notificavano tali irregolarità.

Col GDPR invece diventa indispensabile e necessario sviluppare una struttura di documenti per la gestione della privacy che preveda tutti gli atti opportunamente aggiornati ed elaborati per rispettare tutti i requisiti di conformità del nuovo Regolamento.

È il sistema dell’accountability, cioè della regolare gestione dei documenti e dell’obbligatoria tracciabilità delle attività di trattamento.

Chi non pianificherà correttamente la gestione dei dati che raccoglie è punibile anche per questo palese fatto, a prescindere che ci sia abuso o meno di tali dati.

Vengono introdotte le nuove norme relative alla protezione della privacy fin dalla sua ideazione (privacy by design) e della protezione di default di dati e sistemi (privacy by default)

Privacy by design attesta che la tutela dei dati personali debba essere gestita e sviluppata a partire dalla progettazione. Diviene obbligatorio organizzare strumenti di protezione dei dati a partire dalla progettazione delle attività e per l’intera amministrazione dell’esistenza dei dati.

Dovranno essere analizzati i flussi di dati legati all’attività che si vuole svolgere e, allo stesso tempo, utilizzare sistemi che diminuiscano al minimo i pericoli del trattamento riducendo anche la mole dei dati trattati.

Privacy by default invece attesta che sarà necessario prevenire e/o evitare collezionare dati non conformi alle intenzioni perseguite, evitando di raccogliere dati superiori agli scopi dichiarati nell’informativa.

La privacy così diventa un elemento fondamentale nel processo della gestione dei dati raccolti, non essendo più relegata a semplice requisito legale di bassa importanza.

Questo è il fulcro del nuovo Regolamento. I principi dettati nella Privacy by design e by default creano una sinergia organizzativa che rappresenta il punto fondamentale per un irreprensibile trattamento dei dati personali.

Viene introdotta la Valutazione d’impatto sulla protezione dei dati e consultazione preventiva

Con il nuovo GDPR dovremo conoscere e utilizzare un nuovo strumento: il PIA (Privacy Impact Assessment) che consiste nella valutazione d’impatto sulla protezione dei dati personali.

Si tratterà di un’analisi dei rischi che potranno esserci nell’esercizio del trattamento dei dati aziendali.

Chi conserva i dati dovrà svolgere una valutazione dell’impatto del trattamento dei dati personali a partire dalla progettazione del processo aziendale e degli strumenti informatici di supporto, soprattutto nei casi in cui il trattamento degli stessi possa presentare rischi particolari per il diritto e la libertà degli interessati.

Tale valutazione dovrà prevedere alcune fasi differenziate che dovranno essere svolte regolarmente con frequenza almeno annuale:

  1. una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
  2. una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  3. una valutazione dei rischi per i diritti e le libertà degli interessati;
  4. le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e poter dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

La fattibilità e la serietà del rischio connesso al trattamento dei dati dovranno essere specificati in relazione della natura, del contesto, del relativo campo di applicazione e delle finalità del trattamento dei dati personali.

Tale rischio dovrà essere determinato in relazione ad un’analisi oggettiva attraverso la quale si individua se il trattamento dei dati comporta un rischio più o meno elevato.

Con il PIA viene istituita un’attenta analisi aziendali per gestire, ridurre ed evitare i rischi, arrivando così a prevederli in tempo.

È introdotto l’obbligo di comunicazione per le infrazioni subite da chi tratta i nostri dati

Si tratta dell’obbligo da parte di chi gestisce i nostri dati di segnalare all’Autorità eventuali infrazioni. Potrebbero essere la perdita, la modifica, la distruzione, la cessione non autorizzata o l’accesso, illecito o accidentale che sia, ai dati personali comunicati, memorizzati ed elaborati.

Chi tratta dati, in caso di una problematica simile, dovrà compiere due operazioni distinte:

notifica di una violazione dei dati personali alle autorità di controllo e la comunicazione di tali violazioni dei dati personali all’interessato.

La mancata osservazione di questo obbligo porta a sanzioni penali.

Questo obbligo comporterà l’adozione e l’utilizzo di software di monitoraggio (software sentinella) che possano evidenziare all’istante eventuali problematiche e, allo stesso tempo, dovranno esserci attività per ottenere coperture assicurative che tutelino gli interessati in caso di problematiche legate al cyber risk.

Non esiste più l’obbligo di notifica al Garante

Al momento, chi gestisce alcuni tipi di trattamenti (profilazione, geolocalizzazione, analisi della puntualità nei pagamenti) è obbligato a comunicare preventivamente una notifica al Garante per la protezione dei dati personali.

Con la nuova riforma del GDPR, invece, viene abolito quest’obbligo di Notificazione e viene sostituito da procedure che si polarizzino sulle operazioni di trattamento che possano presentare potenziali rischi per il diritto e la libertà degli utenti, per la loro natura, portata o finalità.

Consiste nello svolgimento della Valutazione d’impatto sulla protezione dei dati e consultazione preventiva.

Viene istituita la figura del Responsabile della protezione dei dati personali o DPO (Data Protection Officer)

Il DPO, diverrà obbligatorio se:

  • chi tratta i dati è un’autorità pubblica o un organismo pubblico;
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • vengono trattati, su larga scala, categorie particolari di dati personali o di dati relativi a condanne penali e a reati.

Potrà essere un consulente esterno all’azienda, dovrà svolgere la sua attività con professionalità, autonomia e indipendenza. Sarà il punto di riferimento col quale il Garante entrerà in contatto in caso si debbano acquisire informazioni o rilevare contestazioni ai titolari del trattamento dei dati aziendali.

Aumentano le sanzioni

Con la nuova riforma le sanzioni acquisiranno entità parecchio maggiori:

  • si arriva fino a 20.000.000€ per i privati e le aziende;
  • fino al 4% del fatturato complessivo su base mondiale per i Gruppi societari multinazionali.

Queste sanzioni nascono per contrastare le azioni delle grandi multinazionali che trattano i dati in diverse aree geografiche e che troppo spesso eludono le norme e i comportamenti delle nazioni più attente e rigorose.

Le normative ufficiali

Testo completo del regolamento:

http://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679

Pagina del garante:

http://www.garanteprivacy.it/regolamentoue