Privacy e Data Protection - Comunicazione Globale agenzia di comunicazione a Padova

Privacy e Data Protection - adeguamento al GDPR

A partire dal 25 maggio 2018 è direttamente applicabile in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

Il GDPR nasce da precise esigenze, indicate dalla Commissione Ue, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.
In sintesi col GDPR:

Si introducono regole più chiare su informativa e consenso;
Vengono definiti i limiti al trattamento automatizzato dei dati personali;
Vengono poste le basi per l’esercizio di nuovi diritti;
Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue;
Fissate norme rigorose per i casi di violazione dei dati (data breach).

Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni codificate di Paese in Paese.

Gdpr in Italia e sanzioni

Il GDPR: sostituisce dal 25.5.2018 la Direttiva Europea 95/46/EC che disciplina il trattamento dei dati e, in larga misura, la normativa nazionale in tema di protezione dati, che ha implementato la direttiva, introducendo un nuovo complesso di regole applicabili a tutti gli Stati Membri. Introduce così anche in Italia forti cambiamenti alle leggi nazionali, e quindi anche al D.Lgs.196/2003, impattando in modo significativo su tutte le società ed enti che trattano dati (titolari o responsabili) e su ogni aspetto delle relazioni tra le organizzazioni e il pubblico.
Le sanzioni previste dal testo del nuovo regolamento sulla privacy potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo.

L’attività di controllo della Guardia di Finanza, su mandato del Nucleo Speciale Privacy, partirà già dal 25.5.2018 con ispezioni volte a verificare gli adempimenti obbligatori e fondamentali per l’adeguamento al GDRP, quali:

nomina del DPO, il responsabile della protezione dati;
controlli sulle misure previste in caso di data breach (casi di perdita accidentale e occasionale di dati; es. furto di un pc, di un hardisk, violazione di sistemi di sicurezza informatici);
registro dei trattamenti: sarà la base dell’attività ispettiva, il punto dal quale la Guardia di Finanza partirà per valutare le misure per la tutela della privacy messe in atto.

I punti chiave del GDPR

Le principali novità inerenti il GDPR che riguardano le imprese sono:

1. Informativa
Tra le principali novità del nuovo regolamento UE sulla privacy vi sono le nuove regole in materia di informativa e consenso: dovrà essere chiara e di facile comprensione e per fare ciò si potrà fare uso anche di icone (che tuttavia dovranno essere le stesse in tutta Europa). L’informativa al trattamento dei dati dovrà spiegare in maniera semplice e con un linguaggio di facile comprensione come saranno utilizzati i dati e per quanto tempo saranno conservati nelle banche dati. Se tali dati saranno utilizzati con finalità di marketing, ovvero qualora dovessero essere condivisi con altre aziende che si occupano del settore, nell’informativa privacy dovrà essere indicato in maniera esplicita.

2. Consenso
Il consenso al trattamento dei dati personali dovrà essere preventivo e inequivocabile, così come previsto già oggi. Quel che cambia è la modalità per esprimerlo: non varrà mai la regola del chi tace acconsente, il consenso dovrà essere esplicito e mai basato ponendo all’interessato una serie di opzioni già selezionate. Il consumatore potrà revocare il proprio consenso in ogni momento e l’azienda sarà obbligata a cancellare tutti i dati raccolti. Ancora, il nuovo regolamento sulla privacy, prevede modifiche anche alle modalità di raccolta del consenso in caso di minori per la fruizione di servizi su internet e social media: per chi ha meno di 16 anni sarà necessario il consenso al trattamento dei genitori o di chi esercita la potestà genitoriale.

3. Portabilità dei dati
I consumatori potranno richiedere il trasferimento dei propri dati personali da un titolare del trattamento ad un altro. (Ad esempio, si potrà cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati, così come ad esempio, nel caso di cambio di gestori di servizi telefonici, energetici, ecc)

4. Diritto all’oblio e conservazione limitata
Il consumatore potrà richiedere la cancellazione dei propri dati personali online nei casi in cui i dati sono trattati solo sulla base del consenso. la conservazione dei dati dell’utente\cliente non potrà essere illimitata ma la durata del trattamento dovrà essere collegata alla finalità per la quale è stato richiesto il consenso.

La figura del DPO - Data Protection Officer

Il DPO può esser nominato internamente o esternamente all’azienda e deve esser dotato di competenze giuridiche, informatiche, di gestione del rischio e analisi dei processi. Le sue funzioni prevedono: I. contatto diretto con il board aziendale; II. l’indipendenza rispetto l’esecuzione dei compiti, nonché l’autonomia decisionale e l’estraneità rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati; III. l’attribuzione risorse umane e finanziarie adeguate alla mission.

L’obbligo di nomina vige per le pubbliche amministrazioni, gli enti pubblici, gli enti e imprese che trattano su larga scala dati sensibili, genetici, giudiziari e biometrici, o che svolgono attività in cui i trattamenti richiedono un controllo regolare e sistematico degli interessati. La presenza del DPO, anche se non obbligatoria, è consigliata per i benefici in termini di accountability, effettività e vigilanza, nonché quale garante dell’interfaccia con le pubbliche autorità (art 39, par 1, e) del Regolamento “il Responsabile della Protezione dei Dati funge da punto di contatto fra il singolo ente o azienda e il Garante”)

Data breach Gdpr e Registro

Il titolare del trattamento dei dati in azienda ha l’obbligo di comunicare eventuali violazioni dei dati personali al Garante. Ne consegue che le imprese italiane dovranno adottare il Registro dei trattamenti di dati personali: si tratta di un documento all’interno del quale bisognerà indicare le caratteristiche del titolare del trattamento e del responsabile del trattamento: potrà essere utilizzato a fini di controllo ma serve soprattutto all’impresa come strumento di valutazione delle attività poste in essere. L’obbligo di tenuta del registro riguarda tutti i titolari e responsabili del trattamento dei dati personali, ad esclusione delle PMI con meno di 250 dipendenti. L’obbligo, tuttavia, si estende anche alle PMI qualora il trattamento dei dati si configuri come un rischio per i diritti e le libertà dell’interessato, qualora il trattamento non sia occasionale o se riguardi tipologie di raccolta dati su larga scala (banche, assicurazioni, cliniche, ecc).

L’Iter per l’adeguamento

Le fasi di adeguamento al GDPR prevedono: recepimento della direttiva entro il 25.5.2018; l’accountability del titolare e del responsabile; l’assessment di verifica aziendale; la stesura del Remedation e Implementation Plan al GDPR, il monitoraggio e il self assessment da parte dell’impresa.

CONTATTACI per maggiori informazioni