GDPR

La nuova normativa europea sulla Privacy

Il GDPR (Regolamento Generale Protezione Dati Personali) è un Regolamento con il quale la Commissione Europea intende tutelare e rendere più omogenea la protezione dei dati personali dei cittadini dell’Unione Europea (e dei residenti) verso il trasferimento in altri Paesi del mondo.

Entrata in vigore

Dal 25 Maggio 2018 entra in vigore anche in Italia il nuovo Regolamento Europeo sulla protezione dei dati personali n. 2016/679.

Si tratta quindi di una evoluzione dell’attuale disciplina sulla Privacy, già in vigore dal 2013, e che la sostituirà in toto. La nuova normativa tutelerà maggiormente i diritti di privacy della comunità, imponendo comportamenti “etici”, quindi nuovi e più stringenti obblighi, per Aziende e professionisti.

Cosa cambierà in concreto?

Il nuovo regolamento introduce alcune importanti novità in tema di trattamento dei dati, che riguardano l’informativa semplificata e il consenso consapevole.

Con il GDPR, l’informativa diventa uno strumento di informazione vero e proprio: dovrà essere breve, priva di riferimenti normativi, trasparente e scritta con un linguaggio semplice e chiaro. In questo modo, il diretto interessato sarà in grado di capire a colpo d’occhio dove vanno a finire i suoi dati e in quale modo saranno trattati. L’informativa dovrà inoltre specificare l’origine dei dati e il tempo di conservazione previsto (ovvero, dovrà essere indicata la data di scadenza dei dati raccolti). In più, l’informativa dovrà essere comprensibile anche ai soggetti minori.

La nuova normativa non vieta di fornire tutte le informazioni necessarie in modo graduale. Si parla infatti di informativa a strati (layered notice): gli interessati possono essere invitati ad approfondire ulteriori dettagli tramite link, o affiancando ai testi filmati o animazioni esplicativi del contenuto dell’informativa.

Un altro cambiamento riguarda la modalità di raccolta del consenso al trattamento.

In Italia, il meccanismo attuale di raccolta del consenso prevede il consenso espresso, il cosiddetto Opt-in: all’utente è richiesto di barrare una casella per dare il suo consenso al trattamento dei dati. Il consenso implicito, desunto da comportamenti, non è valido.

Il nuovo GDPR introduce un nuovo approccio più chiaro e meno formalista. Secondo quanto stabilito dal nuovo regolamento europeo, “il consenso dovrebbe essere espresso mediante un’azione positiva inequivocabile con la quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare che i dati personali che lo riguardano siano oggetto di trattamento, ad esempio mediante dichiarazione scritta, anche elettronica, o orale.”

Col nuovo regolamento al consenso espresso si sostituisce il nuovo concetto di consenso consapevole: il consenso al trattamento dei dati è ora desumibile e quindi inequivocabile in base al comportamento degli interessati. Il motivo è evidente: si è resa necessaria l’esigenza di armonizzare le regole in materia di raccolta del consenso tra i vari Paesi europei. In molti altri Paesi, infatti, il consenso si presume tramite Opt-out.

Nel caso in cui i dati personali vengano raccolti tramite la modalità elettronica, “la richiesta deve essere chiara, concisa e non disturbare inutilmente il servizio per il quale il consenso è espresso”.

Un esempio tipico di consenso non equivoco, manifestato con azioni positive, è quello reso quando, visualizzando un banner che ci informa che il sito che stiamo visitando utilizza cookies, continuiamo a navigare – di fatto accettando l’uso dei cookies.

In ogni caso, gli attuali meccanismi di consenso (Opt-in) restano formalmente validi. Le aziende che già li utilizzano non dovranno modificarli.

Il GDPR introduce poi il principio dell’accountability per tutte le fasi del trattamento dei dati personali. Per le aziende, questo implica adottare soluzioni e strumenti in grado di garantire non solo la protezione del dato raccolto ma anche il controllo, la verifica e l’analisi delle procedure.

Nel caso di una fuga di dati, che si può verificare per manomissione, attacco esterno o in modo accidentale, la norma prevede l’obbligo di darne avviso tempestivo (entro 72 ore) all’autorità garante. Si tratta di un provvedimento che mira a evitare il rischio – sempre più attuale – di una perdita di dati sensibili.

Cosa devono fare le imprese per adeguarsi

l GDPR del 2018 prevede la figura del Data Privacy Officer (DPO), ovvero del responsabile per la protezione dei dati personali. Parliamo di un vero manager dei database aziendali, e non di un semplice garante del legittimo trattamento dei dati.

È obbligatorio nominare un Data Privacy Officer in questi casi:

• Chi tratta i dati è un soggetto pubblico
• Si trattano rilevanti qualità di dati personali
• Si trattano sistematicamente dati sensibili o giudiziari.

È prevista la possibilità di nominare come DPO un consulente esterno all’azienda. Egli avrà il compito di interfacciarsi con il titolare o il responsabile del trattamento per informarlo sugli obblighi derivanti dal regolamento europeo, dovrà vigilare e verificare l’attuazione e l’applicazione della nuova normativa da parte dei titolare o del responsabile del trattamento; inoltre, dovrà controllare che la documentazione relativa ai trattamenti effettuati sia opportunamente creata e conservata; infine, fungerà da punto di contatto per il Garante e ne raccoglierà le richieste.

Sanzioni previste

Per tutte le figure economiche e professionali che non si adeguano alla nuova normativa dal 25 Maggio 2018 sono previste pesanti sanzioni, a fronte di controlli che si annunciano molto frequenti da parte delle autorità di controllo nominate dal Garante della Privacy.

A titolo informativo, viene introdotto un regime di sanzioni che può arrivare a comminare sanzioni anche fino a 20 Mln di euro o fino al 4% del fatturato totale dell’anno precedente.

Trasparenza nella gestione

Il nuovo regolamento richiede una grande trasparenza nella gestione dei dati, fornendo al cittadino un ampio controllo su come vengono utilizzati i suoi dati.

Pertanto, la nuova normativa riconosce al cittadino il diritto di:

• essere informato sul trattamento effettuato sui suoi dati e l’assunzione di corrette politiche di privacy
• essere informati su eventuali violazioni dei propri dati personali
• di ricevere senza ritardo, ed al massimo entro un mese, l’accesso ai propri dati, la loro modifica, cancellazione o limitazione di trattamento (diritto all’oblio)
• di ricevere i propri dati personali  in un formato fruibile e di trasmetterli senza impedimenti ad un altro titolare del trattamento, cioè la funzione di portabilità dei dati.

La protezione dei dati personali deve essere valutata già nel momento di progettazione di nuove procedure prevedendo e mettendo in campo adeguate misure tecniche e organizzative.

e soprattutto

• I dati devono essere trattati solamente per le finalità previste e per il tempo strettamente necessario a tali finalità.