25 maggio 2018: G.D.P.R.

Nessun commento

Sei pronto ad una multa di 20 milioni di euro o a rinunciare al 4% del tuo fatturato?

25 maggio 2018.

Questo è il giorno in cui il regolamento generale sulla protezione dei dati (RGPD, conosciuto più comunemente con la sua sigla in inglese GDPR, “General Data Protection Regulation”, o più semplicemente Regolamento UE 2016/679) è entrato in vigore.

Si tratta di un regolamento emesso dalla Commissione europea il cui scopo è quello di rafforzare la protezione dei dati personali dei cittadini e residenti dell’Unione europea, con valenza sia all’interno che all’esterno dei confini dell’Unione europea stessa.

Questo nuovo regolamento, come l’attuale regolamento della privacy, ti interessa direttamente perché sarà applicato a tutti i siti internet che intendono raccogliere dati dei clienti.

Cascata di caratteri e dati alla Matrix

Prima di tutto voglio dirti che recentemente (nel mese di aprile 2018) sono circolate delle notizie false circa una posticipazione di uno o sei mesi dell’entrata in vigore del nuovo regolamento.

Te lo dico proprio perché è lo stesso Garante della Privacy che sul suo sito ha ritenuto necessario comunicare che:

Con riferimento a notizie circolanti in Internet è necessario precisare che non è vero che il Garante per la protezione dei dati si sia pronunciato sul differimento dello svolgimento delle funzioni ispettive e sanzionatorie né il provvedimento richiamato nei siti attiene a tale materia.

Nessun provvedimento del Garante, peraltro, potrebbe incidere sulla data di entrata in vigore del Regolamento europeo fissata al 25 maggio 2018“.

Pertanto, se avevi abbassato la guardia basandoti su queste notizie false, ora sai che non è proprio il caso di prendere sottogamba l’argomento e la messa in vigore reale resta il 25 maggio 2018.

Torniamo a noi.

La raccolta di dati è uno dei principi fondamentali di un sito a risposta diretta.

Per questo motivo è essenziale per te conoscere questi cambiamenti e metterli in atto entro il 25 maggio su tutte le tue piattaforme digitali.

Questo nuovo regolamento andrà a sostituire l’attuale Codice della Privacy oggi vigente in Italia.

Una vera e propria rivoluzione del mondo della privacy, non c’è modo migliore di definirla, che non ha avuto nascita facile visto che in gioco ci sono centinaia di milioni di euro legati soprattutto ad attività di marketing e profilazione dei clienti.

Rispetto alla proposta originaria del lontano gennaio 2012 sono stati mantenuti alcuni punti cardine, come:

  • Il diritto all’oblio, il diritto di un individuo ad essere dimenticato, o meglio, a non essere più ricordato per fatti che in passato furono oggetto di cronaca
  • La portabilità dei dati, una persona deve essere in grado di trasferire i propri dati personali da un sistema di elaborazione elettronico a un altro senza che il controllore dei dati possa impedirlo
  • Le notifiche di violazione agli utenti e alle autorità nazionali, quando entra un hacker nel tuo sistema e ti ruba i dati che hai raccolto, chiamato anche “data breach”
  • Le modalità di accesso ai propri dati personali semplificate la possibilità per le imprese di rivolgersi a un’unica autorità di vigilanza

Oltre a queste, sono state inserite anche altre novità.

Le regole introdotte vogliono adattare la legislazione sulla privacy in vigore nell’unione Europea ormai da 19 anni alle nuove tecnologie e alluso sempre più disparato che si fa di internet.

La quantità di dati nella rete è in costante crescita così come le connessioni tra i diversi Paesi del mondo, proprio per questo è stata introdotta anche la regolamentazione della diffusione di dati personali all’esterno dell’Unione Europea.

I dati su internet saranno inoltre maggiormente protetti con alcune restrizioni sui meccanismi di “profiling” (raccolta dei dati e profilazione dei clienti) e diventa obbligatorio anche utilizzare un linguaggio chiaro nelle regole relative alla privacy.

Infine, chi fornisce servizi internet ha bisogno del consenso esplicito prima di utilizzare i dati dei clienti.

Per le piccole e medie imprese ci sono altre novità allettanti come tagli ai costi e burocrazie meno complesse, che mirano a favorire lo sviluppo economico del mercato digitale.

Altro elemento affrontato è la nuova figura del responsabile della protezione dati (è un consulente esperto, che ha il compito di affiancare il titolare nella gestione delle questioni connesse al trattamento dei dati personali e lo aiuta a rispettare la normativa vigente) che sarà facoltativa per le piccole e medie imprese.

Fin qui, lato consumatore sembra tutto bello.

Di certo, anche tu vorresti che i tuoi dati fossero trattati con la massima cura ed attenzione in modo che non finiscano in mano a persone che non hai autorizzato ed in caso venissero rubati, probabilmente vorresti venire a conoscenza di questa informazione.

È vero anche che se stai leggendo, c’è una buona probabilità che tu stesso raccolga dati dei tuoi potenziali clienti e mentre leggi ti stia venendo male a pensare a tutti questi adempimenti.

Può essere un argomento che fa venire il mal di testa, ma nel caso in cui non sei in regola potresti avere un mal di testa ben più grande pensando alla multa che ti puoi prendere: fino a 20 milioni di euro o il 4% del tuo fatturato. Capisci che non solo “vale la pena di approfondire” ma è ESSENZIALE non farsi trovare impreparati. Sai bene che la legge non ammette ignoranza.

Quindi, andiamo a vedere cosa è cambiato nello specifico e cosa fare per adeguarsi alla nuova normativa per non incorrere nelle multe da capogiro.

Adesso ti indico le varie differenze messe in atto da questa nuova normativa, per farlo metto a confronto la “Vecchia Normativa Privacy” che è quella in vigore adesso con il “Nuovo Regolamento Europeo”, quello che entra in vigore appunto dal 25 di maggio e che ci interessa capire più a fondo.

Cursore del computer che clicca su un link per la sicurezza

1 – INDIVIDUAZIONE DEI SOGGETTI A CUI SI APPLICA IL REGOLAMENTO

Vecchia Normativa Privacy = la normativa era applicabile nel luogo in cui aveva sede il titolare del trattamento dei dati.

Nuovo Regolamento Europeo = la legge applicabile è quella del soggetto i cui dati vengono raccolti. Social network, piattaforme web e motori di ricerca saranno quindi soggetti alla normativa europea anche se sono gestiti da società con sede fuori dall’UE. Con il nuovo regolamento viene abolita la figura del Titolare del Trattamento Dati e rimane solo la figura di Responsabile.

2 – DOVERE DI DOCUMENTAZIONE E INFORMAZIONE

Vecchia Normativa Privacy = la documentazione era importante.

Nuovo Regolamento Europeo = viene messo in campo il principio dell’accountability (responsabilità verificabile), secondo cui tutti i soggetti che partecipano al trattamento dati devono essere consci e responsabili e devono tenere documentazione di tutti i trattamenti effettuati. Chi non documenta, è soggetto a possibili sanzioni: a prescindere dall’utilizzo che si fa dei dati, è sufficiente non avere i documenti per essere perseguibili.

3 – L’INFORMATIVA PRIVACY

Vecchia Normativa Privacy = l’informativa era spesso lunga, incomprensibile e con richiami normativi complessi.

Nuovo Regolamento Europeo = l’informativa deve essere leggibile, comunicativa, accessibile, concisa e scritta con linguaggio chiaro e semplice con un numero limitato di riferimenti normativi. Deve essere fornita per iscritto (oralmente va bene SOLO se l’interessato è d’accordo e la sua identità deve comunque essere comprovata con altri mezzi). Si propone anche l’utilizzo di icone per rendere l’informativa leggibile anche da parte di chi non conosce la lingua.

4 – CAMBIA IL CONSENSO

Vecchia Normativa Privacy = il consenso doveva essere libero, specifico e informato. Ci doveva essere un atto formale per accettare il trattamento dei dati.

Nuovo Regolamento Europeo = il consenso deve essere libero, specifico, informato e inequivocabile. Il consenso è valido se la volontà è espressa in modo NON equivoco, anche con un’azione positiva: non ci deve essere per forza la casella di spunta, basta un testo in cui si informa che proseguendo si accetta il trattamento dati con link all’informativa.

5 – VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI

Vecchia Normativa Privacy si preparava il DPS, un manuale per la pianificazione della sicurezza dei dati in azienda: descrive come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc..

Nuovo Regolamento Europeo = si effettua una valutazione degli impatti privacy analizzando i rischi, definendo i dislivelli rispetto alla corretta gestione dei rischi, stabilendo un piano per colmarli e controllando annualmente gli effetti degli interventi per ridurre i rischi. Quasi sicuramente questo nuovo documento sarà chiamato PIA: Privacy Impact Assessment.

6 – ABOLIZIONE DELLA NOTIFICAZIONE

Vecchia Normativa Privacy = si doveva informare il Garante che un soggetto sta trattando dati per una particolare finalità. (ex art. 37 D.lgs. 196/2003)

Nuovo Regolamento Europeo= non si dovrà più notificare il Garante, ma ogni anno l’azienda dovrà redigere il privacy impact assessment, il PIA di cui abbiamo parlato nel punto precedente, con il quale si considera effettuata la notifica.

7 – IL DATA PROTECTION OFFICER

Vecchia Normativa Privacy = il DPO, Data Protection Officer appunto, non era neanche una figura contemplata.

Nuovo Regolamento Europeo = bisogna istituire (per tutti gli enti pubblici e per aziende il cui core business coinvolge trattamenti di natura rischiosa) un responsabile per la protezione dei dati. Il DPO è una figura manageriale con rinnovo periodico, referente del Garante e dovrà avere requisiti e competenze elevate. Il DPO potrà essere sia un dipendente che un collaboratore con regolare contratto. Ricordo che per le piccole e medie imprese questa figura non è obbligatoria.

8 – PRIVACY BY DESIGN E PRIVACY BY DEFAULT

Il concetto di privacy by default sottolinea la necessità della tutela dei dati dei cittadini “di default” appunto, cioè come impostazione predefinita.

Per privacy by design si intende la necessità di tutelare i dati raccolti sin dalla progettazione dei sistemi informatici che ne prevedono l’utilizzo.

Vecchia Normativa Privacy = la privacy era un elemento conclusivo e finale.

Nuovo Regolamento Europeo = la privacy deve essere vista come un elemento iniziale: devo pensarci appena decido di raccogliere dati e predisporre alti livelli di privacy nel trattamento dati, che potranno essere abbassati dal diretto interessato.

9 – OBBLIGO DI SEGNALAZIONE IN CASO DI VIOLAZIONE DEI DATI

Vecchia Normativa Privacy = non era necessario comunicare violazioni nel trattamento dati.

Nuovo Regolamento Europeo= nel caso di violazione del trattamento dati bisogna effettuare una segnalazione al Garante entro 72 ore dall’evento e, nel più breve tempo possibile, bisogna informare anche i diretti interessati. Il mancato rispetto di quest’obbligo comporta sanzioni penali (in pratica vai in galera). Per coprire il costo di comunicare la violazione a tutti gli interessati, definito tecnicamente “Data Breach”, è possibile prevedere delle assicurazioni.

10 – RICONOSCIMENTO DI NUOVI DIRITTI

Vecchia Normativa Privacy = pochi diritti che tutelavano l’interessato in merito alla gestione dei propri dati.

Nuovo Regolamento Europeo = nuovi diritti: diritto alla portabilità dei dati (posso pretendere che il soggetto a cui ho concesso l’uso dei miei dati me li restituisca su un supporto elettronico strutturato così che io possa farne ulteriore uso, anche presso un altro fornitore), diritto all’oblio (diritto a essere totalmente dimenticato da chi ha raccolto i miei dati).

A questi punti si aggiungono anche alcune importanti novità:

  • Vengono introdotte le definizioni di “Dato Generico” e “Dato Biometrico”
  • Introdotta la categoria del trattamento dati dei minori
  • Introduzione della Co-titolarità nel trattamento dei dati
  • Introduzione del Diritto all’Oblio
  • Introduzione della figura del Joint Controller
  • Introduzione di requisiti più stringenti per trasferire dati verso Paesi Terzi
  • Introduzione del principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni e servizi ai cittadini UE o tali da permettere il monitoraggio dei comportamenti dei cittadini dell’UE
  • Istituzione del Comitato Europeo per la protezione dei Dati

Il periodo utile per tutte le aziende europee per adeguarsi alla nuova normativa privacy è di due anni e venti giorni a partire dal momento in cui il regolamento è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea, ovvero il 4 Maggio 2016.

Ti ricordo che nel caso non fossi in regola, la stangata che ti può arrivare ammonta a 20 milioni di euro o al 4% del tuo fatturato, e addirittura il rischio di finire nel penale.

NOTA BENE: Questo articolo è solo a scopo informativo e non ha valore di consulenza legale o professionale. Ti invito a consultare un commercialista o avvalersi di una consulenza legale indipendente per informazioni specifiche relative alle tue esigenze specifiche in base al tipo di attività e ai paesi in cui intendi operare.

Menu