General data protection regulation, meglio conosciuto come Gdpr. Una sigla breve ma densa di significati: dal prossimo 25 maggio il Regolamento generale per il trattamento dei dati personali (Reg. Ue 2016/679) cambierà il modo in cui verranno gestite le informazioni personali di chiunque abbia firmato un consenso informato.
Cosa devono fare le aziende per mettersi in regola con il Gdpr?
Gli esperti di diritto societario e di contrattualistica d'impresa ricordano che il regolamento europeo ha diretta esecuzione nell'ordinamento giuridico. Quindi sarà attivo in tutti i Paesi dell'Unione Europea a partire dal 25 maggio 2018. Il Regolamento riguarda tutti coloro che vengono a contatto, per motivi professionali, con dati personali. Tutte le imprese e i soggetti pubblici di qualunque dimensione trattano dati personali, basti pensare a quelli dei propri dipendenti, così come i liberi professionisti che nel proprio PC conservano i dati dei clienti. Ma anche le associazioni di volontariato, le parrocchie, gli enti che, per perseguire i propri scopi, siano in possesso anche solo di un'informazione in più su una persona rispetto a quella presente sulla carta di identità. Parliamo quindi di moltissimi interessati.
La nuova normativa introduce regole molto chiare: il diritto all'oblio, per esempio. Oppure le lettere per le informative e gli obblighi per le aziende nei trattamenti dei dati dei cittadini con cui entrano in contatto. In questo caso la conoscenza dei doveri è fondamentale.
Tra gli aspetti più rilevanti della riforma figurano linee più rigorose per i casi di violazione, criteri specifici per il trasferimento dei dati fuori dall'Unione Europea, limiti precisi al trattamento automatizzato delle informazioni personali.
«Privacy, ecco come cambiano le norme»
Se si trattano dati personali, bisogna mettersi in regola.
Facciamo un esempio: se vado ad acquistare dei prodotti in un negozio e sono titolare di una tessera fedeltà, il proprietario del punto vendita deve mettersi in regola con il Gdpr perché, per rilasciare la tessera, avrà raccolto alcuni dati personali, di contatto, e avrà registrato anche quelli sulla frequenza con cui mi reco al negozio per fare acquisti e magari anche quali prodotti preferisco. Tutte informazioni che vanno ben oltre il semplice dato anagrafico.
Stesso discorso vale per tutte le attività di marketing attivate su e-commerce e servizi online.
Cosa fare per adeguarsi al regolamento Ue sulla privacy e come intervenire in caso di furti?
L'applicazione del Regolamento non comporterà in automatico l'illiceità del consenso acquisito in precedenza: il consenso già ricevuto rimarrà valido se rispetta tutti i requisiti richiesti dal Gdpr, altrimenti dovrà essere nuovamente richiesto. In questo caso, si dovranno richiedere solo i dati necessari alla propria attività e nulla di più. Qualora l'archivio dati venisse violato (data breach), si dovrà darne comunicazione all'autorità per il controllo (Garante della privacy) entro 72 ore dal momento in cui si è venuti a conoscenza del furto. Allo stesso modo si dovranno informare tutti gli interessati indicando come si procederà per affrontare tale perdita.
Al di là degli aspetti normativi e formali, il nuovo regolamento introduce degli aspetti tecnici con cui confrontarsi. Per un'azienda mettere in atto una misura tecnica di protezione dei dati significa intraprendere un'azione estesa. Tra le tante novità anche quella della responsabilizzazione dei titolari del trattamento (che dovrà comunicare eventuali violazioni al Garante), ma anche un approccio capace di tenere in maggiore considerazione i rischi che un determinato trattamento può comportare per i diritti e le libertà degli interessati. Un risvolto che, sul piano del diritto, faciliterà il passaggio da un provider all'altro, agevolando la creazione di nuovi servizi, in linea con le strategie adottate dal Mercato Unico Digitale.
La diversità di obblighi non è legata tanto alle dimensioni dell'impresa quanto alla tipologia di dati trattati. Tutte le imprese che acquisiscono un flusso ininterrotto di informazioni sensibili devono dotarsi di una nuova figura che è il Data Protection Officer (DPO). È un nuovo incarico che ha mansioni a metà fra la consulenza legale e il service provider, deve essere un soggetto indipendente dal management dell'impresa e potrebbe essere anche un professionista esterno.
Cosa accade alle aziende che non si adeguano al Gdpr? Il General data protection regulation prevede sanzioni fino a venti milioni di euro o pari al 4% del fatturato globale. In Italia i controlli sono affidati al Garante della privacy.
Devi mettere a norma il tuo sito web o hai bisogno di un appuntamento con un consulente per capire cosa fare per mettersi in regola con il GDPR? Compila il form e sarai contattato dal nostro ufficio commerciale.