GDPR: Tutto ciò che c’è da sapere per essere in regola
Il 25 maggio 2018 entra in vigore senza possibilità di proroga il nuovo regolamento dell’Unione Europea sulla protezione dei dati personali, il GDPR (General Data Protection Regulation).
Se ne sta parlando molto nelle ultime settimane: l’avvento di internet ha reso necessario un aggiornamento della disciplina, anche per via della diffusione e del valore sempre più evidente dei dati degli utenti. A dimostrarlo anche il caso Cambridge Analytica, l’azienda che avrebbe sfruttato i dati personali di oltre 50 milioni di utenti Facebook per targetizzare e ottimizzare diverse campagne elettorali, tra cui quella per l’elezione di Trump.
Ma vediamo nello specifico che cosa dice la nuova normativa.
Il GDPR (UE 2016/679) è una normativa che impatterà in modo importante sulle organizzazioni di ogni settore e dimensione che trattano dati personali (qualsiasi informazione riguardante una persona fisica identificata o identificabile” ivi inclusi “uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.), le quali saranno chiamate a mettersi in conformità in tempi ormai brevi, per rendere conformi i propri processi interni, in un’ottica di trasparenza e gestione privacy dati.
Il rischio per chi non si dovesse mettere in regola è quanto mai concreto in quanto le sanzioni che porta con sé la normativa possono arrivare fino al 4% del fatturato globale annuale complessivo.
Quali sono i cambiamenti più importanti del GDPR e cosa devono sapere le imprese per prepararsi alla nuova normativa?
Di seguito i 4 principi chiave del GDPR e cosa cambia per le aziende:
- Parola d’ordine: Informare! Ruolo sempre più centrale dell’informativa e del consenso al trattamento. Bisogna informare l’interessato di ciò che si intende fare con i suoi dati personali attraverso un’informativa semplice e chiara. Inoltre le aziende devono garantire agli utenti il diritto di portabilità dei dati, cioè l’obbligo di fornire se richiesto dal cliente, i dati in modo gratuito e in formato elettronico per agevolarne il trasferimento da un ente all’altro. Ciò va incontro anche al diritto all’oblio degli interessati: diritto alla cancellazione dei dati personali dell’utente se quest’ultimo non vuole mantenere il consenso al trattamento e non ci sono ragioni legittime per conservarli.
- Gestione di casi di Data Breach. Ogni organizzazione ha l’obbligo di spiegare e documentare come agirebbe in caso di violazione dei dati, per poter assicurare al cliente la tutela della privacy fin dalla fase progettuale. Diventa dunque prioritario valutare i rischi per l’intera gestione del ciclo di trattamento dei dati prevedendo fin dall’inizio le garanzie indispensabili previste nel regolamento (Privacy by Design). I titolari del trattamento dovranno realizzare una vera e propria valutazione dei rischi, generati nell’intero processo di trattamento dei dati (Data Protection Impact Assessment – DPIA). Se l’esame delle possibili fonti di rischio non è stato sufficiente a evitare una violazione dei dati personali e si palesa un caso di data breach (violazione) si dovrà dare una tempestiva notifica (entro 72 ore) alle autorità locali competenti, e anche le persone interessate dovranno essere avvertite senza ritardo.
- Nell’assicurare la trasparenza circa il trattamento dei dati, un altro obbligo introdotto dal GDPR è quello di istituire un Registro del Trattamento, strumento fondamentale allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda, indispensabile per consentire una gestione efficace e ordinata della sicurezza.
- Istituzione del DPO. Uno dei principali elementi introdotti dalla nuova normativa è la figura del DPO (Data Protection Officer): risorsa interna, o esterna, che ha la finalità di garantire che l’organizzazione sia conforme facilitando l’attuazione del regolamento da parte del titolare/responsabile.
Il DPO deve:
- Monitorare l’adeguamento e la protezione dei dati,
- Controllare che il titolare o responsabile dei dati effettuino la valutazione dei rischi,
- Controllare la documentazione e notificare casi di violazione,
- Essere intermediario tra le autorità di controllo e l’organizzazione.
E’ una figura rilevante, ma certamente non è il “centro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento.
È evidente che dal punto di vista formale-organizzativo il nuovo Regolamento Europeo obbliga le imprese a ridefinire la parte documentativa del D.Lgs. 196/2003 con regole più chiare, limiti al trattamento automatizzato dei dati personali, nuovi diritti per il cliente, criteri rigorosi per il trasferimento dati fuori dall’UE e casi di violazione, ma questa normativa nasce soprattutto per definire le regole di responsabilità nell’utilizzo dei dati personali, che ai giorni nostri rappresentano la materia prima in grado di alimentare la crescita e lo sviluppo delle imprese.
Inoltre il GDPR vuole creare un clima di fiducia per lo sviluppo dell’economia digitale, offrire certezza giuridica, ma anche strumenti di più semplice comprensione alle persone interessate.
Cosa devono fare le aziende?
Per cominciare bisogna puntare sulle cose essenziali. Ferma la necessità di dare pieno adempimento alla normativa, alcuni adempimenti sono forse più importanti di altri.
Si può attuare un’attività di pre-verifica dei requisiti previsti dal GDPR per poi, “calarli” all’interno della specifica realtà aziendale. Al termine di questa analisi preliminare si può attivare un processo di interventi volti a sanare le falle gravi attraverso la nomina di figure chiave, l’introduzione e la modifica di sistemi, modelli, procedure e registri aziendali.
Affidarsi a un partner competente, in questo senso, può aiutare qualsiasi organizzazione non solo ad affrontare con successo il GDPR, ma anche a tramutarlo in un possibile strumento di business!
*Questo articolo va preso come un libero approfondimento. La cosa saggia da fare è consultarsi con esperti Privacy.