Il nuovo Regolamento Generale sulla Protezione dei Dati (GDPR) sarà direttamente applicabile in tutti i Paesi membri dell’Unione a partire dal 25 maggio 2018.
Imprenditori, liberi professionisti e pubbliche amministrazioni dovranno farsi trovare pronti, pena nuove e più onerose sanzioni fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo.
Ma a poco più di un mese dalla sua entrata in vigore, solo il 67% delle imprese italiane ritiene di essere conforme alle nuove disposizioni (ricerca Senzing).
La progressiva digitalizzazione delle attività produce ogni giorno una quantità rilevante di dati personali e sensibili, dai form di siti web sui quali si inseriscono le proprie credenziali ai servizi di home banking o di e-commerce, all’utilizzo delle piattaforme social. Dati che nelle nostre attività imprenditoriali e professionali, consapevolmente o inconsapevolmente, trattiamo ogni giorno.
Quanti di noi sono al corrente che la data di nascita di un cliente o il suo indirizzo di posta elettronica rappresentano un dato personale o che un data-base rientra nei dati sensibili?
E quanti sono consapevoli del rischio di cyber-attacchi, malware o phising che banalmente arrivano per mail, a cui questi dati sono potenzialmente esposti?
Le nuove norme sulla Privacy nascono proprio dalla necessità di fornire una risposta adeguata alle attuali esigenze di gestione dati derivanti da questo processo di digitalizzazione.
Ecco allora cosa bisogna sapere e come prepararsi.
Cos’è il GDPR e cosa cambia nel trattamento dei dati
GDPR, acronimo di General Data Protection Regulation, è la nuova disciplina, prevista dal Regolamento UE 2016/679, per la protezione dei dati personali dei cittadini europei e la libera circolazione di tali dati all’interno dell’Unione.
Il Regolamento, che sostituisce la precedente normativa 95/46/CE sulla Protezione dei Dati, in realtà è in vigore dal 24 maggio 2016, ma avrà piena applicazione solo a partire dal 25 maggio 2018, per consentire un allineamento tra le differenti normative nazionali in materia di Data Protection con le nuove disposizioni europee.
Trattandosi di un Regolamento europeo e non di una legge interna, non sarà possibile alcun tipo di proroga.
Gli elementi di novità sono numerosi, determinati in particolare dai maggiori rischi connessi alla digitalizzazione e all’utilizzo delle nuove tecnologie, cui sono esposti i dati personali.
Vediamone i principali:
- Il Consenso dell’interessato.
Le aziende dovranno ottenere un consenso esplicito ed attivo per elaborare, archiviare o utilizzare i dati (non sarà più sufficiente solo informare, ma diverrà necessaria un’approvazione espressa).
- L’Informativa all’utente.
Il GDPR prevede nuovi contenuti tassativi e nuove modalità di redazione per l’informativa: forma concisa, intelligibile e facilmente accessibile. L’informativa sarà data, in linea di principio, per iscritto, preferibilmente in formato elettronico, soprattutto nel contesto di servizi online.
- Il Diritto di accesso.
Le aziende dovranno comunque garantire agli utenti il diritto di ricevere gratuitamente una copia dei propri dati personali oggetto di trattamento.
- Il Diritto all’oblio (o diritto di cancellazione).
L’utente avrà il diritto di chiedere la cancellazione dei propri dati personali, anche dopo revoca del consenso. In tal caso è previsto l’obbligo per i titolari del trattamento, che abbiano reso pubblici i dati personali dell’interessato, ad esempio, pubblicandoli su un sito web, di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati.
- Il Diritto di portabilità dei dati.
Strettamente collegato al diritto di accesso, consentirà agli interessati di ricevere i propri dati personali (solo automatizzati, non cartacei) trattati da un titolare e di trasmetterli ad altro titolare o conservarli su supporto personale per uso privato. I dati dovranno essere resi disponibili in formato strutturato, di uso comune e leggibile meccanicamente (dati “portabili”).
Cosa dovranno fare le imprese: 7 consigli per prepararsi al GDPR
Il nuovo Regolamento si basa essenzialmente su di un monitoraggio risk based: alle aziende, in buona sostanza, viene richiesto un approccio proattivo, in grado di prevedere e valutare autonomamente i rischi cui è sottoposta la privacy dei dati in proprio possesso e tale da dimostrare la concreta adozione delle misure di tutela previste (principio di accountability ossia responsabilizzazione dei titolari e dei responsabili)
Le fasi operative cui le aziende dovranno dare priorità possono così sintetizzarsi:
- Effettuare un Audit pre-GDPR, attraverso un’analisi dei dati presenti in azienda, dei rischi inerenti e delle procedure di controllo utilizzate.
- Predisporre i documenti necessari per la compliance al GDPR: nuova informativa privacy, consenso, registro dei trattamenti, DPIA – Data Protection Impact Assestment .
- Adottare le misure tecnologiche di sicurezza adeguate al rischio, previste dall’art. 32 del GDPR, come ad esempio la cifratura dei dati, in modo che siano incomprensibili per chi se ne appropria indebitamente o l’immediato ripristino degli stessi in caso di problemi tecnici.
Essendo scomparso l’obbligo di rispettare le cd. misure minime, le indicazioni dell’art. 32 sono aperte e non esaustive.
- Nominare i responsabili dei trattamenti.
- Valutare la nomina del DPO (Data Protection Officer). Il GDPR prevede, a completamento della struttura organizzativa, la figura di un Responsabile della protezione dei dati, avente il compito di garantire la conformità dell’azienda al Regolamento, in particolare nei casi in cui si richieda un controllo regolare e sistematico dei dati e/o quando il trattamento riguardi dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
- Istituire il Registro degli incidenti in caso di Data Breach (perdita, distruzione o accesso non autorizzato dei dati), in cui andranno annotati il tipo di Data Breach occorso, i motivi che l’hanno generato, le conseguenze che ha avuto e le misure messe in atto per ripristinare la situazione quo ante.
- Segnalare le violazioni entro 72 ore alle autorità di protezione dei dati e nel più breve tempo possibile alle persone interessate.
Le sanzioni per chi non si adegua
Il GDPR ha notevolmente inasprito le sanzioni previste in caso di violazione degli obblighi di tutela dei dati.
Il principio generale è che le sanzioni debbano essere equivalenti in tutti gli Stati membri, dissuasive e proporzionate alla natura della violazione, al carattere doloso o colposo della stessa, alle misure adottate dai responsabili per attenuare il danno per gli interessati.
Quantificando numericamente:
- fino a 10 milioni di euro o fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, per violazioni relative agli obblighi del titolare del trattamento e del responsabile del trattamento;
- fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, per violazioni relative agli altri obblighi, tra cui i diritti degli interessati, ai principi base del trattamento, comprese le condizioni relative al consenso.
Il GDPR: un’opportunità per l’economia digitale?
Gli obblighi previsti dal GDPR sono ad oggi considerati da molte imprese come ulteriori adempimenti burocratici, fonte di costi da sostenere inevitabilmente per evitare sanzioni elevate in caso di inadempienza.
Eppure in una società in continua evoluzione digitale, ben presto qualsiasi attività produttiva verrà ad essere influenzata dai Big Data, dall’IoT (Internet of Things) o da forme di Intelligenza Artificiale.
Le aziende saranno allora chiamate a sostenere le sfide di mercato, ben al di là di qualsiasi adempimento normativo, in un’economia digitale basata principalmente sulla raccolta e lo scambio di dati.
Ecco allora che una policy di tutela dei dati diviene strategia nella trasformazione digitale delle imprese e dei professionisti: gli utenti/clienti e le aziende partner, non essendo disposti a mettere a rischio i propri dati personali, tenderanno a scegliere chi sarà in linea con gli standard privacy previsti.
Myriam Fioravanti
Per chi fosse interessato ad evento di formazione ed aggiornamento può contattare lo Sportello Amico Esaarco al n. 0863995421
[wl_chord]