Privacy. GDPR: istruzioni per l'uso, tutti gli obblighi delle aziende
18:23:40 4909
Privacy e GDPRAlla vigilia dell’ entrata in vigore del nuovo regolamento generale europeo in materia di protezione dei dati personali, un vademecum per affrontare al meglio le rivoluzionarie disposizioni previste. Le aziende italiane restano, tuttavia, in ritardo sulla tabella di marcia.
Manca qualche giorno all’ entrata in vigore del GDPR e, nonostante le multe salatissime previste per chi non si adeguerà alla normativa, sembra che molte imprese non siano ancora pronte ad accoglierne le novità. E’ stato previsto, infatti, un quadro sanzionatorio fino a 20 milioni di euro o del 4% del fatturato annuo dell’impresa per la violazione delle disposizioni in materia dei principi base del trattamento (come ad esempio le condizioni relative al consenso, la liceità del trattamento, i trattamenti relativi a categorie particolari di dati personali, i diritti degli interessati, accesso, rettifica e oblio).
Un massimo di 10 milioni di sanzione, oppure il 2% del fatturato annuo dell’impresa, invece, per i trasgressori delle regole sul consenso dei minori, sui trattamenti che non richiedono l’identificazione dell’interessato, sui principi di Privacy by design e Privacy by default.
La normativa non riguarderà solo i giganti del web, ma impatterà qualsiasi processo adottato dalle aziende nella raccolta, gestione e conservazione dei dati online dei cittadini europei.
Esaminiamo, dunque, nella fattispecie i punti salienti del regolamento.
Per prima cosa bisogna chiarire cosa si intende per dato: oltre alla nozione di dato personale (che si riferisce a qualsiasi informazione riguardante una persona fisica identificata o identificabile), il Gdpr aggiunge quelli di dato genetico, biometrico e relativo alla salute.
Per quanto riguarda i destinatari, invece, il GDPR si rivolge a tutte le aziende che raccolgono e/o elaborano dati personali di cittadini europei, sia online che offline, all’interno o fuori dall’Unione europea.
La raccolta di dati online e offline dovrà, inoltre, rispettare le seguenti caratteristiche: l’utente deve fornire il proprio consenso in modo esplicito e tracciabile, l’informativa sul trattamento dei dati personali dovrà essere trasparente, chiara e facilmente accessibile, i dati raccolti dovranno essere, infine, pertinenti e adeguati alle finalità per cui vengono richiesti. Si ricordi, inoltre, che i dati potranno essere raccolti e utilizzati solo per gli scopi specifici esplicitati nel consenso.
Regole ad hoc per i minori. L’art. 8 del regolamento, infatti, prevede che per offrire servizi ai minori di 16 anni sia necessaria un’autorizzazione da parte dei genitori o di un tutore. Tuttavia, i Paesi potranno abbassare la soglia, senza poterla portare, comunque, al di sotto dei 13 anni.
Bisognerà, inoltre, raccogliere e conservare tutta la documentazione circa i trattamenti dei dati personali
(dai moduli di iscrizione alla newsletter alle piattaforme sulle quali i dati vengono raccolti) e metterla a disposizione dell’autorità di controllo, qualora la richiedesse.
Anche i fornitori e tutti i soggetti (collaboratori, partner, stakeholder) con cui l’azienda interagisce dovranno essere conformi alle regole della nuova normativa. Sarà necessario anche un monitoraggio costante di tutte le attività aziendali, al fine di assicurarsi che tutti gli aspetti del GDPR vengano sempre rispettati ed applicati, anche in virtù di eventuali aggiornamenti ed integrazioni future alla normativa.
Per quanto riguarda, infine, la novità più importante introdotta dal regolamento, ovvero il diritto all’ oblio (art. 17), consisterà nella cancellazione dei propri dati in determinate situazioni (ad esempio quando non sono più necessari rispetto alle finalità per le quali sono stati raccolti o trattati, quando ci si oppone al consenso, se non sussiste altro fondamento giuridico per il trattamento o quando i dati sono stati raccolti in modo illecito) . La novità è che la richiesta inoltrata al primo che ha trattato i dati comporta l’obbligo per quest’ultimo di trasmetterla a tutti coloro che li utilizzano o li hanno utilizzati in seguito. Il diritto all’oblio, tuttavia, non verrà applicato se il trattamento è necessario “per l'esercizio del diritto alla libertà di espressione e di informazione”, “per motivi di interesse pubblico nel settore della sanità pubblica”, “a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici” o se occorre in sede giudiziaria.
Gli enti locali, seppure in lieve ritardo rispetto alla scadenza, hanno già avviato una prima fase di analisi e catalogazione dei trattamenti in essere: da parte dei sindaci, dei segretari e dei dirigenti, c’è sempre più attenzione per la pubblicazione di atti e documenti amministrativi in un’ottica di trasparenza e tutela della privacy.
Ogni Amministrazione sta procedendo, inoltre, alla modifica del proprio assetto organizzativo anche per integrare la nuova figura prevista dalla normativa, il Responsabile per la Protezione dei Dati, colui che deve garantire la messa in pratica (“accountability”) delle diverse norme previste. Sembra che molti Comuni (almeno in questa prima fase transitoria) siano orientati verso una nomina esterna, così da avere il tempo necessario per individuare internamente una risorsa che risponda ai requisiti richiesti.
Se da un lato c’è una forte preoccupazione per l’impellenza di questi adempimenti che riguarderanno tutti i 7954 comuni italiani , dall’altro si cerca di iniziare a costruire le basi di quello che sarà un vero e proprio cambiamento culturale.
A tal proposito l’Ancitel, la struttura tecnica dell’Anci, ha intrapreso una serie di iniziative volte a supportare i Comuni nel percorso di adeguamento alle nuove regole privacy: sono stati messi in atto webinar, corsi di formazione e percorsi ad hoc per le amministrazioni locali.
Carmen Chiara Camarca
