Il 25 Maggio 2018 entra in vigore il GDPR, ovvero il Regolamento Generale sulla Protezione dei Dati (Privacy), che impone ai fornitori di servizi di assicurare la sicurezza delle informazioni relative ai propri utenti.
Avrai notato l’ondata di messaggi nella tua e-mail con oggetto Aggiornamento Informativa Privacy oppure La Tua Privacy Ci Sta A Cuore, e cose simili inerenti la normativa europea GDPR.
Bene. Tutto normale. Solo l’ennesima scocciatura come quando entrò in vigore la gestione dei Cookie nei vari siti web: bisogna solo prenderne consapevolezza e abituarsi.
Anche se si parla di trattamento dei dati, non devi fare confusione con il decreto legislativo 196 del 2003.
Il General Data Protection Regulation non sostituisce il Dlgs 196/03 (decreto legislativo per la protezione dei dati) che resta in vigore e sarà presto adeguato alla regolamentazione europea.
Pertanto tale vecchio regolamento viene meno solo se il GDPR sostituisce già una norma in quanto migliorativa.
Qual’è il principio che ha fondato il GDPR nel dicembre 2015?
Rendere ogni utente consapevole della gestione dei propri dati, forniti da chi eroga un servizio digitale, e in grado di poterne richiedere la modifica, spostamento o cancellazione.
Ciò per assicurare maggiori diritti e tutele, soprattutto verso i minori.
A differenza del precedente sistema di gestione della sicurezza dei dati, secondo cui era previsto un elenco di azioni da fare per essere in regola (es.: cambia la password ogni 30 giorni, prendi nota di eventuali modifiche ai termini di servizio, ecc.), adesso è importante il risultato: garantire la sicurezza dei dati secondo il metodo più efficace da parte del fornitore del servizio.
Questo comporta maggiore libertà di azione e potere da parte del fornitore e quindi maggiore responsabilità (Accountability) che deve essere in grado di:
- informare sull’utilizzo dei dati in base al servizio erogato;
- chiedere il consenso (a tempo definito) prima di adottare le nuove regole;
- consentire la modifica, spostamento e/o cancellazione (diritto all’oblio, art.7) dei dati;
- notificare eventuale violazione (data breach) massimo entro 72 ore.
Per maggiore informazioni, puoi consultare il testo originale del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016.
Scarica il PDF del GDPR in Italiano
Cosa succede se non si è in regola con il GDPR?
Le sanzioni vanno fino ad un massimo di 20 milioni di euro oppure al 4% del fatturato!
La commissione europea ha auspicato un risparmio in miliardi di euro se le aziende adotteranno la nuova normativa riducendo pertanto le spese sostenute a causa della perdita di dati, blocco produttivo, sanzioni.
Chi deve adeguarsi al GDPR?
Tutte le aziende che trattano dati personali devono adottare misure tecniche e organizzative per assicurare, ed essere in grado di dimostrare, la raccolta e utilizzo dei dati in conformità alle nuove regole.
In particolare si applica a persona fisica o entità (azienda) che:
- possieda una sede o filiale in uno stato membro della Comunità Europea;
- processi dati personali di cittadini europei;
- gestisca un numero di dipendenti superiore a 250 (è consigliabile conformarsi anche nel caso di numero inferiore di dipendenti alla nuova normativa);
- abbia un numero inferiore di dipendenti, ma i cui trattamenti dati possano avere un impatto su diritti e libertà degli individui, non siano occasionali, o comprendano determinati tipi di dati (es. dati sensibili).
Questo comporta che non esiste un unico sistema di gestione dei dati a seconda del settore a cui far riferimento, come poteva essere in precedenza (niente copia e incolla, mi spiace), ma realizzare il proprio modello a seconda delle attività che vengono eseguite per gestire i dati e fornire un determinato servizio.
Requisito importante è la nomina di un DPO (Data Protection Officer) quale responsabile dell’attuazione delle buone pratiche in linea con art.37 della regolamentazione europea GDPR.
La figura del DPO è obbligatoria per:
- istituti di credito;
- imprese assicurative;
- sistemi di informazione creditizia;
- società finanziarie;
- società di informazioni commerciali;
- società di revisione contabile;
- società di recupero crediti;
- istituti di vigilanza;
- partiti e movimenti politici;
- sindacati;
- caf e patronati;
- società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
- imprese di somministrazione di lavoro e ricerca del personale;
- società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
- società di call center;
- società che forniscono servizi informatici;
- società che erogano servizi televisivi a pagamento.
Non è obbligatorio il DPO per:
- liberi professionisti operanti in forma individuale;
- agenti, rappresentanti e mediatori operanti non su larga scala;
- imprese individuali o familiari;
- piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.
Come adeguarsi al GDPR?
Affidati ad esperti che possano curare tanto l’aspetto legale quanto quello tecnico.
Per cui non lasciare nulla al caso.
Scegli un buon consulente legale che verifichi come puoi essere in regola con la nuova normativa e un altro per l’aspetto tecnologico della tua impresa.
Prevenire è meglio che curare: vuoi un esempio pratico? il Backup dei dati! (quella cosa che andava fatta prima).
In conclusione, ti consiglio di porti queste domande per meglio intervenire e adeguarti propriamente:
- Quale TIPOLOGIA di dati raccogli?
- Qual’è l’USO che ne fai?
- DOVE mantieni salvati questi dati?
- Hai stabilito CHI è il titolare dei dati?
- Hai scelto CHI ALTRO può accedere a questi dati?
- Hai deciso per QUANTO TEMPO vengono conservati?
- Stai rispettando i DIRITTI SULLA PRIVACY?
- Hai informato con una NOTA le persone interessate?
- Puoi garantire la SICUREZZA dei dati?
E questo è solo l’inizio.
Avrai compreso che il lavoro da fare è molto, tanto, e non è semplice metterlo in pratica in poco tempo. Soprattutto tenendo conto che bisogna adeguare specificatamente ogni aspetto a seconda del caso.
Lanciarsi nella pratica del fare in fretta solo per evitare sanzioni la ritengo davvero una pessima idea.
Non rischiare la tua credibilità. Il mercato non perdona, ancor di più al giorno d’oggi dove l’informazione digitale viaggia istantaneamente.
Affronta con serenità questo cambiamento e cogli l’opportunità di mostrarti competitivo.
Resto a disposizione per fornirti la consulenza necessaria ad adeguare la tua attività alla normativa EU GDPR.
Life is all enclosed in emotions. One of these is certainly the satisfaction of making something that other people like: this is my pleasantness. My main professional attitude is to optimize, improve management and business processes, applications, services. In short words, Web | Tech | Projects Specialist Consultant.
I have been present on social networks since they began to be a tool of common interest: Facebook, Twitter, Instagram (I love to publish and browse amateur photos that contain fragments of life). I believe in hashtags as much as I believe in aphorisms.