HomeWeb marketingSito WebGDPR, cosa cambia con il nuovo regolamento europeo: come essere in regola

GDPR, cosa cambia con il nuovo regolamento europeo: come essere in regola

In questo post andiamo ad analizzare dettagliatamente il GDPR: vediamo cosa cambierà effettivamente e, soprattutto, cosa fare per essere in regola con il GDPR.

GDPR, cosa cambia con il nuovo regolamento europeo: come essere in regola

GDPR è l’acronimo di General Data Protection Regulation. Si tratta del Regolamento Europeo UE 2016/679, che diventerà efficace in tutti i Paesi membri dell’Unione dal 25 maggio 2018.

Questo regolamento apporta delle modifiche alla disciplina del trattamento dei dati personali. Come spiegato su Agenda Digitale, “il GDPR nasce da precise esigenze […] di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.

In poche parole, l’obiettivo è garantire maggiore sicurezza ai cittadini europei per quanto riguarda la tutela dei loro dati. Un tema che, nelle ultime settimane, è diventato quanto mai caldo.

Se lavori con i dati, sei spaesato e non sai cosa devi fare, possiamo dire che la privacy europea cambierà molto e ciò avrà effetti anche sulle normative italiane. In questo post vedremo cosa cambia con l’introduzione del GDPR.

Prima di andare avanti, è bene ricordare, come fa anche la Guida all’applicazione del Regolamento Europeo in materia di protezione dei dati personali, che gli Stati membri hanno la possibilità di intervenire su alcune norme, “precisandole”.

Cosa cambia con il nuovo regolamento europeo?

In linea di massima, il GDPR si differenzia dai precedenti standard di privacy dell’Unione Europea per questi fattori:

  1. Ambito territoriale
  2. Ottenimento del consenso
  3. Introduzione del DPO
  4. Sanzioni

In precedenza, quello dell’ambito territoriale era un campo più ambiguo. Tutte le società che operano in Europa, a prescindere del paese dove siano stabilite, dovranno adeguarsi alle nuove normative.

L’ottenimento del consenso deve essere esplicito: non è ammesso il consenso tacito o presunto, come ricorda la Guida all’applicazione citata. Con “esplicito” non s’intende la forma scritta, anche se è consigliabile.

Inoltre, la revoca del consenso deve essere altrettanto facile quanto la concessione, che comunque deve essere dimostrabile.

Nell’informativa, si “deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati – Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti.

L’informativa, che generalmente va data per iscritto e in formato elettronico, deve essere:

  • concisa
  • trasparente
  • intelligibile per l’interessato
  • facilmente accessibile
  • scritta con un linguaggio chiaro e semplice

Uno dei grandi cambiamenti, come ti abbiamo anticipato, è l’introduzione del DPO. È un acronimo che, in italiano, sta per Responsabile della protezione dei dati. Il DPO è incaricato di assicurare una corretta gestione dei dati personali e deve:

  • riferire al vertice
  • essere indipendente
  • avere risorse umane e finanziarie adeguate

(Come sottolinea Agenda Digitale, tuttavia, “persistono ancora troppi dubbi su cosa sia il DPO. E’ una figura rilevante, ma certamente non è il ‘centro’ del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento”)

Le violazioni, infine, possono essere punite con vari gradi di sanzioni, arrivando a cifre molto importanti. Le sanzioni per infrazioni gravi del GDPR, come la mancata acquisizione del consenso, possono arrivare al 4% del fatturato annuo o 20 milioni di euro.

Imprese ed enti, quindi, in virtù dell’introduzione del principio di responsabilizzazione dei titolari del trattamento (accountability), saranno maggiormente colpiti.

Essere in regola con il GDPR: cosa bisogna fare?

Deve essere il Titolare del Trattamento “chi decide il motivo e le modalità del trattamento” – a garantire un livello adeguato di sicurezza. Eventualmente, inoltre, dovrà giustificare e rendere conto delle scelte fatte.

Sono tanti i fattori di cui tenere conto e che AGI sintetizza, più o meno, così:

  • natura del titolare, cioè se pubblicaprivata
  • tipologia dei dati trattati (comuni, sensibili, giudiziari)
  • finalità e carattere occasionale o meno del trattamento
  • dimensione dell’azienda
  • oggetto dell’attività
  • tipologia e qualifica dei soggetti coinvolti nel trattamento

Il punto d’inizio dovrebbe essere l’analisi dello stato dell’azienda in materia, in modo tale da valutare le azioni da compiere per mettersi in regola.

Importante è anche rivedere la modulistica, che, se non in linea con le modifiche previste dalla nuova normativa, potrebbe causare sanzioni.

In sintesi, dovrai dotarti di una struttura adeguata, anche per gestire correttamente i diritti degli utenti, che potranno:

  • ottenere la cancellazione dei dati, ovvero ritirare il consenso (diritto all’oblio)
  • richiedere, e ricevere, i dati concessi a un titolare, per trasferirli a un altro (diritto alla portabilità dei dati)

Inoltre, per il diritto di accesso, dovrai essere completamente trasparente riguardo la raccolta e l’utilizzo dei dati. E dovrai essere in grado di notificare agli utenti eventuali violazioni dei dati.

Ora, siamo sicuri che tu stia pensando:

“Sì, ma adesso che faccio?”

Andiamo a vedere cosa devi fare per essere sicuro che il tuo sito web sia in regola.

Per una prima valutazione si può usare la check list messa a disposizione dal Garante della Privacy al punto 8 della “Guida pratica e misure di semplificazione per le piccole e medie imprese – 24 maggio 2007.

Secondo un sondaggio di SB Italia, oltre la metà delle aziende italiana non è pronta ad allinearsi ai provvedimenti adottati dal nuovo regolamento europeo.

Solo il 15,6% degli intervistati pensa che i dirigenti della propria azienda siano consapevoli di cosa cambia con il GDPR. Ma, nonostante questa, c’è consapevolezza dei rischi, secondo il 71% del campione.

Vista la delicatezza della questione, quindi, il consiglio principale è quello di affidarsi al supporto di un professionista del settore, fondamentale per scelte consapevoli.