GDPR, quali sono le novità introdotte col nuovo regolamento?

GDPR, quali sono le novità introdotte col nuovo regolamento?

12 giugno 2018

Il Regolamento Generale sulla Protezione dei Dati (GDPR), entrato da pochi giorni in vigore (25 Maggio 2018) in tutti gli Stati membri dell’Unione Europea, sostituisce la Direttiva 95/46/CE sulla Protezione dei Dati.

 

Le aziende, in seguito all’introduzione della normativa, si sono dovute adeguare al GDPR. Le misure adottate devono garantire sicurezza non solo nella fase di raccolta ma anche in quelle di elaborazione e conservazione dei dati.

 

Quali sono gli obbiettivi che si vogliono raggiungere a seguito dell’adozione del GDPR?

 

·         assicurare un maggior controllo dei propri dati personali ai cittadini dell’Unione europea;

·         uniformare il quadro normativo delle imprese che gestiscono i dati dei cittadini;

 

 

Le novità introdotte

 

·         l’extraterritorialità, validità delle norme all’interno di tutto il territorio dell’Unione e, anche extraeuropeo, nel caso in cui i dati trattati riguardano un cittadino dell’Unione;

·         sanzioni, le multe previste per le aziende che non rispettano il nuovo regolamento si attestano fino al 4% del fatturato annuale globale o fino ai 20 milioni di euro. Le violazioni di dati che compromettono i diritti e le libertà fondamentali degli individui, vanno obbligatoriamente segnalati, da parte delle aziende, all’autorità competente e ai soggetti interessati;

·         consenso al trattamento dei dati, chi si occupa della raccolta e gestione dei dati personali è tenuto a specificare e chiarire agli utenti le condizioni e i criteri alla base dell’attività del trattamento degli stessi. È tassativo indicare i fini e le modalità del trattamento dei dati richiesti all’utente e i tempi di conservazione;

 

Importanti sono l’introduzione:

·         del diritto all’oblio, gli utenti possono richiedere la cancellazione dei propri dati personali;

·         della portabilità dei dati, comporta il diritto per gli utenti di ricevere i propri dati personali per trasmetterli a un altro ente. Di conseguenza tali dati devono essere rilasciati in un formato leggibile da una macchina.

 

Un altro nuovo concetto introdotto a seguito del GDPR è quello di Privacy by Design. La protezione dei dati deve essere incorporata nei prodotti e servizi già dalla fase di progettazione degli stessi.

Alle aziende, è inoltre richiesto di adottare sistemi per tutelare la privacy dei dati degli utenti grazie a sistemi di cifratura dei dati che ne permettono la lettura solo ai soggetti autorizzati al trattamento.

 

Parliamo ora della figura del Data Protection Officer, meglio noto come DPO. Si tratta di una figura introdotta dal Regolamento generale sulla protezione dei dati, (UE) 2016/679 GDPR. Soggetto interno o esterno all’azienda, col compito di monitorare regolarmente i dati trattati su larga scala e tenuto a garantire la conformità al GDPR da parte di grandi aziende e enti pubblici.

 

Quando la nomina di tale figura è obbligatoria?

 

La nomina del DPO è obbligatoria nei seguenti casi:

 

·         quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

·         quando le attività principali del Titolare o responsabile del trattamento consistono in trattamenti che, per loro natura e finalità richiedono il sistematico monitoraggio degli interessati su larga scala;

·         quando le attività principali del Titolare o responsabile del trattamento o consistono nel trattamento, su larga scala di particolari categorie di dati personali (art.9: dati particolari e sensibili) o di dati relativi a condanne penali e a reati (art. 10).

 

I Principali compiti del DPO: art 39 del regolamento

 

Il DPO è incaricato di:

·         prestare consulenza al Titolare del trattamento o al Responsabile del trattamento e ai dipendenti che eseguono il trattamento;

·          sorvegliare l'osservanza del presente regolamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità e la formazione del personale;

·          qualora gli venga richiesto deve presentare un parere in merito alla valutazione d'impatto sulla protezione dei dati;

·         Deve collaborare con l'autorità di controllo, Garante privacy.

Gli adempimenti tassativi previsti dal nuovo regolamento al quale le aziende hanno dovuto adeguarsi riguardano anche il mondo web e il settore informatico.


Per le aziende che si occupano di attività di marketing gli adempimenti si moltiplicano in ragione dell’elevata mole di informazioni che vengono raccolte ai fini dell’attività svolta. I database contenenti elenchi infiniti di indirizzi e-mail di clienti sono un vero e proprio contenitore di dati personali.

 

È necessario chiarire che per dati personali s’intendono non solo i dati sensibili (indirizzo, numero telefonico) ma anche dati digitali quali tracciamento cookie, geo-localizzazione, e-mail e indirizzi IP.

Per poter procedere alla raccolta, online e offline, dei dati personali di un utente, è necessario il consenso esplicito e tracciabile di quest’ultimo. Soluzione più adeguata è l’introduzione del double opt-in, doppio consenso (tramite flag e successivamente con una mail di conferma), con cui l’utente accetta due volte l’iscrizione al servizio es. per l’iscrizione alla newsletter. Inoltre, deve essere data la possibilità all’utente di poter modificare o negare il consenso al trattamento dei dati in maniera chiara ed intuitiva.

Anche il form di raccolta dati per richiedere i servizi, spesso inserito nella maggior parte dei siti presenti in rete, per essere allineato alle disposizioni previste dal GDPR, deve essere chiaro e facilmente accessibile.

I dati raccolti devono essere pertinenti e limitati alle finalità per cui vengono richiesti e trattati.

In merito ai form di contatto, è molto importante che la spunta della casella es. per l’iscrizione alla newsletter, non sia precompilata.

 

In caso di implementazione e aggiornamenti di servizi e funzioni del sito web, che richiedono l’utilizzo dei dati degli utenti, è necessario richiedere un nuovo consenso. Infatti, ai fini del GDPR, i dati possono essere raccolti e utilizzati solo per gli specifici scopi esplicitati nel consenso.