Sei tempestato anche tu di aggiornamenti per la nuova direttiva sulla Privacy? In realtà chiamarla direttiva sulla Privacy non è corretto perché il GDPR, che sta per General Data Protection Regulation, è molto di più.
Il GDPR è il Regolamento Europeo UE 2016/679 che diventerà operativo in tutti i Paesi membri dell’Unione dal 25 maggio 2018. Il Regolamento abroga la Direttiva Europea 45/96 che è stata il punto di partenza per l’attuale Codice Privacy italiano.
Come spiega Agenda Digitale il GDPR apporta delle modifiche alla disciplina del trattamento dei dati personali per “l’armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo”.
In parole semplici l’obiettivo comunitario è tutelare maggiormente i cittadini europei garantendo una disciplina comune e regole trasparenti nella gestione dei loro dati.
Sappiamo quanto sia di attualità il problema dell’utilizzo dei dati, ma quello che non sappiamo è cosa cambia con l’introduzione del GDPR e quanto ci riguarda, sia come individui che come aziende se abbiamo in gestione dati di altri.
Prima di vedere come impatta la direttiva comunitaria, capiamo cosa cambia, precisando che ogni Stato membro avrà la possibilità di intervenire sugli aspetti più operativi per la piena realizzazione del Regolamento, ma non potrà stravolgere il contenuto e i termini di applicazione.
Come cambia la privacy con il nuovo GDPR
In sintesi i cambiamenti del nuovo Regolamento europeo sono sei:
1.L’ambito territoriale: Il GDPR riguarderà tutte le società che operano in Europa anche se hanno sede stabile fuori dall’Europa.
2.Il principio di Accountability: il Titolare del Trattamento diventa in tutto e per tutto il principale responsabile del trattamento dei dati all’interno della sua azienda. Il Titolare è colui che, dopo aver effettuato una Valutazione del Rischi che possono correre i dati durante il trattamento aziendale, definisce le misure adeguate dal punto di vista tecnologico e organizzativo. Ciò comporta che ogni azienda debba avere procedure tagliate su misura. Il Titolare inoltre dovrà obbligatoriamente formarsi e assicurarsi che le persone da lui autorizzate abbiano padronanza delle soluzioni adottate dall’azienda.
3.L’ottenimento del consenso: il consenso al trattamento dei propri dati deve essere fatto in modo esplicito, ma non necessariamente per iscritto in quanto l’onere della prova spetta al Titolare del Trattamento. Ecco perché quando stipuliamo un contratto con un call center ci informano che la nostra telefonata viene registrata: la registrazione può essere utilizzata come prova dell’avvenuto consenso al trattamento dei dati. Il consenso deve essere espresso tramite un’azione positiva, volontaria e soprattutto libera pertanto non è più ammesso il consenso tacito o presunto od obbligatorio per fini diversi da quello iniziale. Chi rilascia i propri dati, così come chi li accoglie, deve assicurarsi di essere stato autorizzato a farlo e deve anche consentire con facilità la revoca del consenso.
4.L’informativa scritta o in formato elettronico deve essere: concisa, trasparente, intelligibile per l’interessato, facilmente accessibile e scritta in un linguaggio chiaro e semplice dato che, secondo il Regolamento, anche un sedicenne ha la possibilità di rilasciare un consenso valido. Inoltre sull’informativa dovranno essere chiare le tempistiche di conservazione dei dati, soprattutto quelli raccolti a fini commerciali.
5.L’introduzione del DPO: ovvero del Data Protection Officer. Il Responsabile della Protezione dei Dati è una figura già presente in quasi tutti gli altri Stati Membri e introdotta per la prima volta in Italia. Questa figura è obbligatoria solo in tre casi:
- enti pubblici;
- organizzazioni che si occupano di dati particolari (i vecchi dati sensibili per intenderci) su larga scala (per esempio una clinica privata);
- organizzazioni che effettuano monitoraggio continuo e sistemico, che tradotto vuol dire: ogni volta che passi la carta fedeltà al supermercato i tuoi dati vengono monitorati e salvati in appositi database.
Le aziende che dovranno dotarsi di questa figura dovranno indicarne i riferimenti nell’informativa così che il DPO possa essere contattato direttamente dai cittadini e/o dall’autorità di controllo. Il Responsabile della protezione dei dati deve, in estrema sintesi:
- svolgere un lavoro di consulenza per il Titolare del trattamento;
- sorvegliare e supportare l’azienda per assicurare una corretta gestione dei dati personali;
- riferire ai vertici dell’azienda;
- essere indipendente;
- avere risorse umane e finanziarie adeguate alla gestione del ruolo.
6.Le sanzioni: le sanzioni previste dall’introduzione del GDPR colpiscono pesantemente Titolari e Responsabili delle aziende che non rispettano la corretta acquisizione del consenso. Le sanzioni amministrative arrivano fino a 20 milioni di Euro o fino al 4% del fatturato mondiale annuo, nel caso in cui questa percentuale superi la sanzione massima. Attenzione il Regolamento modifica le sanzioni amministrative non quelle penali.
Per avere tutte le informazioni in dettaglio potete consultare la Guida completa al nuovo Regolamento disponibile sul sito del garante della privacy.
Da dove cominciare per essere in regola?
Per valutare lo stato attuale dell’azienda il Garante della Privacy mette a disposizione, all’interno della guida, una Check List che “mira a riassumere, in forma interrogativa, i punti sopra riassunti. La risposta negativa ad uno dei quesiti, denota un possibile profilo critico dal punto di vista della protezione dei dati personali”.
La prima cosa da fare è mappare i dati che vengono trattati in azienda e tutte le operazioni (archiviazione, inserimento in database, ecc..) che li coinvolgono.
Il passaggio immediatamente successivo dovrebbe essere rivedere tutta la modulistica e i processi di acquisizione dei dati verificando se siano o meno in linea con quanto previsto dal Regolamento.
Infine è indispensabile dotarsi di una struttura adeguata a gestire correttamente le richieste degli utenti che hanno tre diritti fondamentali:
- il diritto di cancellazione (chiamato diritto all’oblio) a semplice richiesta;
- la portabilità dei propri dati;
- il diritto di accesso e quindi la facoltà di verificare quali dati siano in possesso dell’azienda. In un’ottica di totale trasparenza questo significa che l’azienda è tenuta a notificare tempestivamente all’utente anche eventuali violazioni nell’utilizzo (…so che suona familiare)
Come impostare la modalità del trattamento è una scelta del Titolare del Trattamento, il quale dovrà rendere conto delle soluzioni adottate in caso di verifica da parte delle Autorità competenti.
Non ci può essere una scelta univoca perché ogni azienda si differenzia per:
- tipologia: pubblica o privata;
- qualità e quantità dei dati trattati;
- finalità o frequenza del trattamento dei dati;
- tipologia dei soggetti coinvolti nel trattamento;
- dimensione dell’azienda.
Parlando di dimensioni, la buona notizia è che i liberi professionisti, o le società equiparate, possono evitare di nominare il DPO “Per estensione di concetto si affiancano questi soggetti anche i rappresentanti, gli agenti e i mediatori che non operano su larga scala, le imprese individuali e le piccole e medie imprese nel caso di trattamento dei dati personali connessi alla gestione corrente dei rapporti con i propri dipendenti e i propri fornitori”.
È indubbio che l’impatto di questo cambiamento sia importante per le grandi realtà che forse, prima di altre, si sono attrezzate per essere operative già il 25 maggio e da qui la quotidiana richiesta di aggiornamento che ci sta investendo.
Per tante altre piccole e medie società, nel dubbio interpretativo e operativo, è meglio affidarsi a professionisti del settore. Meglio scegliere chi ha conseguito le necessarie certificazioni ed è in grado di dimostrare una vera ed approfondita conoscenza del Codice Privacy e del Regolamento. Fai attenzione ancora una volta alla scelta del professionista e, anche in questo caso, confronta attentamente le tariffe di consulenza, spesso assai diverse da città a città o per contenuti.
Lo scopo del GDPR è unificare la modalità di trattamento e dare certezze ai cittadini europei, aumentando la fiducia verso chi i nostri dati li tratta quotidianamente. Ci riusciranno?
Giorgia Ferrari
7 anni fa
Grazie Giorgia,
articolo molto utile per capire come potrebbe cambiare il nostro approccio alla privacy.
Da un lato si ha l’impressione che vi sia uno “scarico di responsabilità” – da parte dell’oggi garante privacy – direttamente sulle aziende (probabilmente questa istituzione non è mai riuscita a garantire alcunché in realtà e la prova primaria viene dalla continua tempesta, in primis, delle telefonate non richieste da sedicenti operatori che operano “per conto di” gruppi energetici, telefonici, etc.) sfilandosi dall’onere della valanga di spam che intasano le nostre caselle postali elettroniche quotidianamente e di cui non sei consapevole aver rilasciato alcun consenso a scriverti. Probabilmente è infatti così, il più delle volte.
Dall’altro lato forse è di fatto è un bene che sia così (vedremo…) poiché frugare in tasca direttamente alle società che non adempiono alle nuove regole è come sempre il miglior incentivo all’attenzione di queste ultime.
Speriamo poi nei controlli. Siamo campioni (soprattutto in Italia!) a fare leggi. Un pò meno a verificare che vengano rispettate :-)!
Sono comunque pieno sostenitore di una proposta (chissà se vedrà mai la luce…o verrà anche solo mai discussa!) apparsa qualche tempo fa su “WIRED” – noto organo informativo online su questioni tecnologiche e del loro impatto sociale ed economico – che indica nella “nazionalizzazione dei dati personali” la soluzione ultima per la migliore ed equa gestione degli stessi. In sostanza l’industria dei “Big Data” viene parificata a nulla di diverso di una qualsiasi altra “industria estrattiva” alla cui fonte – chi vuole “abbeverarsi” – deve pagare. Se l’acqua che sgorga dalla fonte sono i dati (sensibili o meno) degli abitanti di una nazione, è giusto che il “diritto estrattivo” venga remunerato alla nazione stessa dalla società che questa “acqua” estrae ed utilizza per trarne profitto proprio.
In pratica, perché si per miniere, petrolio, gas dove un governo offre in appalto a un’azienda la possibilità di trovare, estrarre e trarre ricchezza dalla materia prima estratta, ma mantiene la proprietà sulla stessa e NON per i nostri dati?! Anche in questo caso la società “estrattrice” si assumerebbe i rischi e i costi dell’impresa e in cambio riceverebbe una parte dei guadagni. Il resto dovrebbe andare al governo che quei dati da all’impresa la possibilità di sfruttare. Governo il quali quale poi dovrebbe ridistribuire tali guadagni ai propri cittadini – mai come in questo caso – “produttori della materia prima”!
Oggi con la blockchain questo processo potrebbe diventare effettivamente attuabile, trasparente ed anche tecnicamente poco impegnativo da attuare (a parte la volontà di governi e grandi industrie di farlo!) Leggete l’articolo. E secondo me uno spunto interessante: https://bit.ly/2uRWErw .
Un buon week end a Tutti!
7 anni fa
Ciao Fabio,
interessante il tuo commento e provocatorio l’articolo di Wired cui ti riferisci.
Il fatto che con la blockchain sia tecnicamente possibile la nazionalizzazione dei big data non lo rende a mio avviso moralmente ammissibile. Un po’ come nel modello del Panopticon di Bentham in cui un unico grande occhio centrale poteva controllare tutta la circonferenza, allo stesso modo, un’unica gestione dei dati non la vedo garanzia di democrazia e maggiore libertà dei cittadini.
Tanto più oggi che i dati che ci riguardano sono molto più dettagliati, precisi e “sensibili”.
Da che esiste l’industria pubblicitaria esiste la raccolta dei dati. Capire chi sia e cosa voglia il proprio target o, come vengono definiti nell’era digitale le proprie “personas”, è il primo fondamentale passo per veicolare messaggi e scelte. Rispetto a un passato in cui la raccolta di questi dati passava attraverso una “sorveglianza” quasi invisibile, con il monitoraggio delle transazioni delle carte di credito, bancomat, carte fedeltà ecc., ora a fornire indicazioni di gusto, preferenze, spostamenti siamo noi di nostra spontanea volontà.
Credo perciò che, al di là delle necessarie e doverose regolamentazioni che hanno soprattutto lo scopo di discriminare tra aziende virtuose e aziende meno virtuose, chi dovrà autoregolamentarsi maggiormente sia ciascuno di noi. Da una parte, se ci tenessimo davvero alla nostra privacy, dovremmo evitare qualunque tipo di commento, ricerca sul web, condivisione, like, recensione, acquisto on line, utilizzo di carte e di cellulari. Dall’altra, prendendo atto senza ipocrisia che questo è il mondo in cui viviamo e che alimentiamo, potremmo semplicemente diventare più consapevoli, selettivi, moderati nei consumi e attenti nel rilasciare i consensi sulla privacy.
Suppongo che ci evolveremo.
Ti auguro una splendida giornata.
7 anni fa
Giorgia, complimenti. Questo tuo articolo mi è stato utilissimo e, pur avendo partecipato a diversi convegni sull’argomento non avevo prima mai capito molte cose che mi hai fatto capire tu. Brava! e ancora grazie. Carlo Adriani
7 anni fa
Ciao Carlo, grazie! Sono davvero contenta di esserti stata utile.
7 anni fa
Grazie Giorgia, ottimo riassunto. Vedo che nel sito avete usato il servizio di Iubenda per la compilazione della informativa privacy e cookies ma non per tracciare il consenso dell’utente che compila un vostro form. Come mai? Lo chiedo perchè, dovendo affrontare anch’io la questione, vorrei usare proprio Iubenda e mi domandavo come mai non avete attivato il servizio completo. Preciso che mi sto ancora informando e potrei non aver capito bene il tutto! Grazie mille Michela
7 anni fa
Ciao Michela,
siamo in fase di aggiornamento anche noi e le cose quindi potrebbero cambiare nel giro di pochi giorni. Al momento Iubenda ci consente di gestire in modo adeguato l’informativa e i cookies, mentre chi compila il form è gestito da un servizio diverso che prevede la doppia approvazione del consenso informato.
Come evolverà tutto ciò, se evolverà, te lo farò sapere, ma come detto è sempre meglio rivolgersi a specialisti della materia.