Il GDPR, i punti da seguire assolutamente

Cosa è il GDPR?

Il GDPR è una revisione delle norme sulla privacy delle informazioni online ed esiste sin dalla distribuzione di internet, grazie alla quale i cittadini europei hanno il diritto di consultare i dati conservati su di essi, sapere quali sono e quindi chiederne la cancellazione.

A partire dal 25 maggio 2018 tutti i paesi dell’unione europea hanno un nuovo regolamento per il trattamento dei dati personali, grazie al quale gli utenti hanno un controllo maggiore sulle loro informazioni gestite da società, aziende, enti pubblici e singoli. Con il nuovo regolamento è necessario che il cittadino dia espressamente il suo consenso al trattamento dei propri dati, il quale deve essere, come per la normativa precedente, inequivocabile, libero e specifico, informato e non presunto. Nel nuovo regolamento europeo vengono espressi dei punti in maniera chiara, che devono essere rispettati nell’informativa sulla privacy. Questi devono sempre essere presente e mai omessi:

• bisogna indicare qual è la logica delle decisioni che viene impiegata e quali sono le conseguenze per la persona. Se sono previsti processi automatizzati, come la profilazione, l’utente deve esserne a conoscenza;
• la possibilità di fare un reclamo alle competenti autorità di controllo;
• per quanto tempo i dati personali vengono conservati;
• l’eventuale trasferimento dei propri dati a società di paesi terzi e in caso, con quali modalità;
• le leggi alla base del trattamento;
• la richiesta di consenso e l’espressione d’interesse dell’utente.

L’informativa poi deve pervenire con ogni mezzo, in formato cartaceo, elettronico o anche orale, entro il termine massimo di 1 mese a partire dalla raccolta dei dati e oltre a contenere i punti appena elencati, deve essere presentata anche in forma concisa, con un linguaggio chiaro e comprensibile. Il tacito consenso non è previsto dalla nuova normativa, per cui il silenzio o la mancanza di comunicazione, non può essere considerata come un consenso che abbia effetto in alcun modo.

I punti centrali del nuovo regolamento GDPR

• Il bisogno che ha visto nascere il nuovo regolamento GDPR è quello di dare un ordine e semplificare il più possibile le regole che riguardano il trasferimento dei dati personali dei cittadini europei, verso altri paesi nel mondo, per fronteggiare lo sviluppo crescente della tecnologia. Il nuovo regolamento è stato pensato per risolvere i seguenti punti:
  aumentare il livello di tutela della privacy per i minorenni al di sotto dei 16 anni;
• maggiore considerazione del diritto all’oblio;
• proporre sanzioni più pesanti in presenza di violazione dei dati personali, furto di dati o divulgazione non autorizzata, perdita, distruzione e accessi non autorizzati da parte di aziende o anche amministrazioni pubbliche;
• maggiori vincoli per il trasferimento dei dati verso paesi extra europei;
• definire nuovi diritti di utenti e cittadini e garantirli;
• maggiore trasparenza delle regole sull’informativa e sul consenso.

Due figure fondamentali: titolare e responsabile del trattamento

Sono previste due figure principali dalla nuova normativa GDPR, ossia il titolare del trattamento, colui che sceglie il servizio per il quale il trattamento è offerto e il modo in cui questo debba essere gestito e ha la responsabilità sugli obblighi previsti dalla nuova normativa GDPR 2018. Attraverso un contratto, il titolare nomina il responsabile del trattamento, il quale ha il compito della gestione dei dati. Nel caso di attività particolari, possono essere nominati anche dei sotto responsabili direttamente dal responsabile stessi. Lo scopo è quello di creare delle figure di responsabilità, che si assicurino la corretta applicazione del regolamento.

Obblighi delle aziende secondo la normativa GDPR 2018

Quanto appena spiegato è ciò che prevede la normativa sui cambiamenti alle procedure precedenti, ma cosa deve fare l’azienda per essere in regola col nuovo GDPR?

• Nominare il DPO (Data Protection Officer) ossia il responsabile della protezione dei dati, che si occupa di garantire la presenza dei punti prima elencati, in ogni richiesta di trattamento dei dati dei propri clienti;
• tutelare i dati attraverso crittografia, assicurandosi che questi non siano fruibili ai non autorizzati;
• Rispettare le procedure standard di protezione previste nel regolamento;
• Valutare il livello di protezione e riservatezza prevedendo dei sistemi di ripristino dell’accesso ai dati;
• In caso di data breach (fuga di dati) avvisare tempestivamente l’autorità garante entro il termine di 72 ore;
• In fine, deve tenere un registro di tutte le attività, nel quale figurano anche i dettagli delle politiche aziendali in materia di tutela della privacy, nonché gli standard di sicurezza e le procedure adottate.

Per quanto riguarda l’obbligo della nomina del DPO riguarda imprese d’assicurazioni, banche, sistemi d’informazione creditizia e commerciale, società finanziarie, di revisione contabile, di recupero crediti, partiti e movimento politici, istituti di vigilanza, sindacati, caf, patronati, imprese di collocamento, call center, fornitori di servizi informatici e televisivi a pagamento.
Sono invece esentati dall’obbligo i liberi professionisti che lavorano individualmente, agenti e rappresentati che non operano su larga scala, imprese familiari, piccole e medie imprese.