15 Lug / Il GDPR in sintesi: i 10 punti che sono cambiati dal 25 maggio 2018
In poco più di vent’anni, l’Italia ha vissuto un cambiamento storico in ambito normativo, con la creazione di leggi sempre più efficaci sulla protezione delle informazioni personali che i cittadini rilasciano alle pubbliche amministrazioni e alle imprese private.
Il nuovo Regolamento Generale sulla Protezione dei Dati nasce per sopperire alle divergenze normative tra Stato e Stato, per tutelare i diritti dei cittadini europei e per agevolare, la libera circolazione e l’economia dei Paesi dell’Unione Europea.
- ad alcune attività pubbliche inserite nell’UE e a tutte le attività private – europee e non – titolari del trattamento dei dati personali operanti all’interno dell’UE;
- ai cittadini europei che, in questo regolamento si vedono ulteriormente tutelati nei loro diritti sulla privacy e sulla gestione dei dati personali che rilasciano sia offline sia online.
In questo articolo approfondiremo le novità introdotte dal GDPR, il Regolamento 2016/679 entrato in vigore nell’aprile del 2016 che è diventato pienamente attuativo, in tutti i territori UE, a partire da venerdì 25 maggio 2018. Eppure, secondo il rapporto “GDPR Compliance Status“, basato su un sondaggio svolto su 600 professionisti IT e legali distribuiti tra Stati Uniti, Regno Unito e UE, il 96% degli intervistati dichiara di aver avviato le attività ma solo il 20% asserisce di essere conforme alla normativa UE. Questo dato evidenzia come solo una minoranza delle imprese sia arrivata preparata all’appuntamento, nonostante l’obbligo di conformità al Regolamento previsto per maggio 2018 sia stato pubblicato sulla Gazzetta ufficiale dell’Unione europea (GU) nella primavera del 2016!
Con specifico riferimento al nostro Paese, secondo un rapporto di Capgemini, solo il 48% delle imprese italiane si dichiara “ampiamente o completamente conforme”.
A tal proposito, il prossimo 14 settembre si terrà il corso, organizzato da Digital for Academy, LA PRIVACY AL TEMPO DEL GDPR volto a fare luce su tutti gli aspetti teorici più ostici e quelli pratici di maggior rilevanza per raggiungere la piena conformità al GDPR.
Il dato come risorsa
Le nuove tecnologie, hanno permesso alle aziende di sviluppare strumenti capaci di raccogliere i dati degli utenti in modo più veloce e semplice per elaborarli sulla base degli obiettivi aziendali, implementando così i propri processi di crescita e migliorando i risultati.
I Big Data, e gli IOT sono solo alcuni tra gli strumenti innovativi che possono fungere da serbatoi di dati, realizzati conservando le informazioni degli utenti, proprio come il CRM.
Inoltre strategie digitali come il behavioral advertising, possono sfruttare al meglio i dati degli utenti grazie alla loro profilazione e segmentazione, pianificando attività di marketing mirate e quindi più efficaci.
Lo scopo delle imprese è utilizzare queste informazioni per accrescere il proprio business, ma l’enorme responsabilità che comporta il trattamento dei dati personali richiede alle aziende detentrici di rispettare una serie di provvedimenti e di metodi di gestione di tali informazioni che, prima del GDPR, divergevano significativamente da Stato Membro a Stato Membro.
Da queste problematiche, è sorta la necessità da parte degli organi istituzionali dell’Unione Europea di uniformare tutti i Paesi membri con un’unica normativa che regoli il trattamento dei dati personali, così da eliminare le disparità e perfezionare le norme vigenti in un unico stumento normativo a cui tutti gli Stati dell’Unione Europea devono fare a capo.
Il GDPR
Dal 1996 a oggi le normative sul trattamento dei dati personali hanno avuto un’evoluzione continua fino ad arrivare ai giorni nostri, con la pubblicazione, nella primavera del 2016, del GDPR – General Data Protection Regulation – ossia il Regolamento dell’Unione Europea sulla protezione dei Dati che ha sostituito l’attuale Direttiva Privacy 95/46/CE.
Dal 25 maggio 2018 tutte le aziende pubbliche e private che possiedono informazioni personali rilasciate dai cittadini europei si sono dovute adeguare ai principi espressi nel GDPR, relativi al trattamento dei dati personali (art. 5.1):
1. Liceità dei dati in possesso, ovvero i dati devo essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
2. Limitatezza delle finalità, quindi i dati sono raccolti per finalità determinate, esplicite e legittime e, successivamente, trattati in modo compatibile e coerente con tali finalità ;
3. Minimizzazione, i dati raccolti devono essere pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
4. Esattezza, ossia, i dati personali raccolti saranno esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
5. Limitazione della conservazione, quindi i dati dovranno essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
6. Sicurezza dei dati personali, cioè trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
I dieci punti che sono cambiati con l’adozione del GDPR
Dal 25 maggio 2018 le norme contenute in questo testo devono essere rispettate da tutti i titolari e responsabili del trattamento dei dati operanti nell’Unione Europea. Tali figure sono infatti tenute a gestire le informazioni ottenute dai fornitori dei propri dati in tutte le fasi del trattamento; dalla stesura dell’informativa sulla privacy all’eliminazione dei dati obsoleti.
In generale, cosa è cambiato per le aziende operanti nel nostro Paese, rispetto alla normativa vigente?
1. Il consenso al trattamento dei dati deve essere inequivocabile e ottenibile dall’individuo che lo rilascia mediante dichiarazione o azione positiva ed esplicita (art.4 comma 11).
2. L’informativa sul trattamento dei dati personali deve essere stesa in un formato breve, cioè privo di contenuti normativi chiaro e intelleggibile, per poter essere comprensibile anche ai minori che dall’età di 16 anni avranno diritto a rilasciare i propri dati personali senza l’autorizzazione dei genitori. Inoltre, nell’informativa, deve essere inserito il tempo previsto di conservazione dei dati (art.13).
3. Per gli individui che rilasceranno i propri dati, sono stati introdotti nuovi diritti come il diritto alla portabilità dei dati, attraverso cui, gli interessati del trattamento avranno diritto a ricevere, previa richiesta esplicita, i dati personali raccolti dal titolare del trattamento (art. 15). Una volta espressa la richiesta, gli individui riceveranno i propri dati in un formato “strutturato, di uso comune e leggibile meccanicamente” che possono, eventualmente, inviare ad altre aziende (art.https://www.cyberlaws.it/2017/articolo-20-gdpr-regolamento-generale-sulla-protezione-dei-dati-ue2016679/” rel=”noopener” target=”_blank”>20).
4. È stato introdotto un registro delle attività del trattamento con l’biettivo di deviare il precedente obbligo di notificazione all’organo collegiale il Garante Privacy, ossia l’autorità di controllo nazionale preposta alla protezione dei dati nel territorio nazionale italiano (art. 30).
5. Per quanto riguarda i Data Breach, il GDPR prevede che le aziende si impegnino a notificare e comunicare la violazione rilevata sia al titolare di tali dati, sia all’autorità di controllo dei dati stessi entro 72 ore dal momento in cui ne è venuto a conoscenza (art. 33).
6. Dovrà essere stilato dalle attività titolari del trattamento dei dati personali un documento di valutazione d’impatto del trattamento dei dati, anche in caso di fornitori esterni.
In questo caso specifico, sarà premura del committente valutare l’adeguatezza e la qualità del fornitore di dati. Nel caso in cui il fornitore scelto non fosse affidabile, anche l’azienda committente sarà chiamata a rispondere, in caso di irregolarità dei dati forniti (art. 35).
L’obiettivo finale per cui è stato inserito questo diritto è quello di migliorare il controllo che gli individui hanno sui propri dati personali.
7. È stata introdotta una nuova figura, il Data Protection Officer che in italiano trova il suo equivalente nel termine Responsabile della Protezione dei Dati che ha l’obbligo di supportare i titolari e i responsabili, oltre a presidiare la gestione dei dati personali raccolti dal titolare (art. 37).
8. Si incoraggia l’elaborazione di codici di condotta e l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati (art. 40).
9. Tutti i cittadini hanno diritto a vedere rispettati i propri diritti sia da parte delle aziende provenienti dall’UE sia da parte delle imprese che operano all’interno dell’Unione Europea, pur non facendone parte (articolo 3).
10. In caso di sinistri legati all’ottenimento o alla gestione dei dati, le sanzioni a carico di queste imprese aumentano notevolmente. Per esempio, per le multinazionali, è possibile arrivare a sanzioni pari a 20 milioni di euro e, se maggiore, fino al 4% del fatturato annuo dell’impresa (art. 83).
È importante sottolineare che i consensi raccolti precedentemente la data di attuazione del GDPR, se ad oggi sono considerati conformi, vengono ritenuti automaticamente validi. In caso contrario è necessario adoperarsi quanto prima per raccogliere nuovamente il consenso degli individui che hanno dato in precedenza l’autorizzazione al trattamento dei propri dati con un’informativa che sia perfettamente in linea con il nuovo regolamento.
Privacy is good for Business
Il GDPR garantisce e tutela ulteriormente la privacy dei cittadini europei ma potrà anche rivelarsi uno strumento normativo capace di migliorare ulteriormente l’economia delle aziende.
Infatti, tutte le imprese chiamate a conformarsi al GDPR perché residenti nei territori toccati dalla normativa, attualmente beneficiano del vantaggio di operare tutte con gli stessi diritti e gli stessi doveri, senza avere quindi il problema di confrontarsi con leggi sulla privacy troppo permissive per un’impresa e limitanti per l’altra.
Questo strumento normativo, di fatto, agevola la libera circolazione dei dati personali nei territori UE, in favore della concorrenza fra i titolari, come sancito nell’articolo 1 del GDPR.
Le norme che costituiscono il Regolamento UE forniscono alle attività la possibilità concreta di migliorare le proprie prestazioni aziendali proteggendo con maggiore responsabilità i dati personali e limitando conseguentemente il cyber crime che, nell’ultimo periodo, ha apportato gravi danni alle imprese interessate dal problema.
La serietà e l’affidabilità delle imprese (specialmente di quelle il cui core business è incentrato sul trattamento, la cessione e la raccolta dei dati) da adesso in poi non si misurerà più soltanto in termini di performance e innovazione ma anche sulla qualità del trattamento dei dati gestiti.
Il dato è un bene di valore perciò, maggiore sarà la cura con cui questo sarà raccolto e protetto dalle imprese, maggiore sarà il valore del servizio delle imprese stesse!
La piena applicazione delle norme del GDPR, infine, garantisce alle imprese di rispettare concretamente le persone che, fidandosi, cedono i propri dati personali, dimostrando in tal modo di avere preso con la massima serietà e professionalità il rapporto di fiducia stabilito con gli interessati del trattamento dei dati dal momento della raccolta del loro consenso.
Per fare chiarezza sul tema del GDPR e per comprendere a pieno come ottenere a tutti gli effetti la conformità al nuovo regolamento europeo, visita il sito di Digital for Academy e riservati un posto al corso LA PRIVACY AL TEMPO DEL GDPR.