Lo scorso 26 marzo ho partecipato ad un meeting che approfondiva le tematiche della nuova normativa sulla privacy, che entrerà in vigore e a tutti gli effetti il prossimo 25 maggio. Devo dire che prima del meeting ero abbastanza tranquilla ma mentre il relatore spiegava i dettagli mi sono un attimo preoccupata. Ho deciso quindi di scriverci su 2 righe, per informare chi entrerà in questo sito mentre per tutti i miei clienti seguirà una mail dettagliata con eventuali proposte di adeguamento.

Buona lettura!

La nuova normativa privacy 2018: cosa dice? come adeguarsi?

Il 25 Maggio 2018 entrerà in vigore la nuova normativa europea sulla Privacy, la GDPR UE 2016/679 che sostituirà la direttiva 95/46/CEE.

La legge 196 attualmente in vigore nel nostro Paese per il Trattamento dei dati personali resterà comunque applicabile sotto molti aspetti ma verranno anche introdotti importanti cambiamenti e modifiche.

Con lo sviluppo di Internet ed in particolare dei social network é cresciuta esponenzialmente la quantità e la qualità dei dati utili nell’attività di web marketing e tale crescita ha richiesto nel corso degli anni una riforma della normativa sul trattamento dei dati tale da rispondere alle nuove esigenze degli utenti.

Vediamo, allora, quali saranno i principali cambiamenti applicati dalla nuova normativa e come adempiere alle nuove richieste del Regolamento.

Partiamo con il dire che il raggio d’azione della nuova normativa sulla Privacy riguarda tutti i trattamenti dati, parzialmente o interamente autorizzati e non solo in tutta l’Unione Europea ma anche i dati dei cittadini europei gestiti da società con sede in paesi non europei saranno tutelati da questo Regolamento.

> Principio di temporaneità del trattamento dei dati personali

Uno delle principali modifiche a favore di utenti e consumatori é il principio di temporaneità del trattamento dei dati. In pratica nell’informativa sulla Privacy che i clienti andranno a firmare, o a confermare online, dovrà essere indicato per quanto tempo i loro dati saranno in possesso dell’azienda e tale periodo non dovrà essere superiore al conseguimento delle finalità per le quali i dati verranno raccolti. In sintesi, il trattamento dei dati successivo a tale data sarà considerato illegittimo e quindi in violazione della tutela della privacy. Per gli individui minori di 16 anni dovrà essere richiesto il consenso genitoriale al trattamento dei dati.

> Consenso e cancellazione dei dati

Cambiamento radicale per quanto riguarda il consenso che sarà revocabile da parte dell’interessato in qualunque momento purché non si tratti di informazioni utili, ad esempio, ad accertamenti giuridici o per finalità legate alla salute pubblica o, in forma anonima, per ricerche e statistiche. In particolare, l’articolo 17 del Regolamento prevede il diritto all’oblio per l’interessato nel caso:

– i dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti

– venga revocato il consenso al trattamento

– i dati personali siano stati trattati illecitamente, ad esempio dopo la scadenza

Inoltre, nell’informativa, dovrà essere specificato il fine del trattamento dei dati; mentre prima era possibile in consenso cumulativo ora dovranno essere specificate le particolari aree di utilizzo alle quali il consumatore deciderà di dare il consenso oppure no, parliamo ad esempio di marketing e profilazione. Infine, l’utente ha il diritto di chiedere al titolare del trattamento i dati in suo possesso, tali dati dovranno essere comunicati all’interessato in un formato di uso comune, ovvero in maniera comprensibile.

> Il Data Protection Office (DPO)

Nasce per questo la figura del Data Protection Office che avrà il compito di verificare la corretta applicazione della nuova normativa e di informare il titolare del trattamento dei dati sulle procedure da seguire. Deve trattarsi di una persona indipendente e dunque che non abbia un conflitto di interessi con il titolare (ovvero non può essere nominato un dipendente dell’azienda). L’obbligo di nominare il Responsabile del Trattamento dei dati (DPO) é previsto dall’articolo 37 del regolamento, nei seguenti casi:

– il trattamento dei dati é di competenza di un organismo pubblico

– il trattamento dei dati consiste in un monitoraggio degli interessati su larga scala

– il trattamento dei dati riguarda la gestione di dati sensibili o di dati giudiziari, i primi sono ad esempio i dati relativi alle condizione di salute mentre i secondi sono quelli relativi alla situazione giudiziaria del soggetto (condanne penali)

Naturalmente il DPO nominato dovrà avere un profilo professionale e di competenze connesso al trattamento dei dati personali. Il DPO non é ritenuto personalmente responsabile dell’eventuale violazione ma é sempre il titolare del trattamento ad esserne responsabile.

> Comunicazione tempestiva di violazione dei dati: il data breach

La nuova normativa sulla Privacy si occupa anche, in maniera ampia, del cosiddetto data breach, ovvero dell’appropriazione illecita dei dati personali (furti informatici) e della loro distruzione o diffusione. La violazione dei dati dovrà essere comunicata al Garante ed all’interessato in maniera repentina, entro un massimo di 72 ore. Sono previste sanzioni fino a 20 milioni di euro o al 4% del fatturato mondiale.

> La PIA, per chi é obbligatoria

PIA é l’acronimo di Privacy Impact Assessment e si tratta di un’analisi dei fattori di rischio e della loro gestione nell’ambito del trattamento dei dati personali. Quando la tipologia di trattamento può rilevare rischi per gli interessati, per i loro diritti e libertà, la PIA é obbligatoria. In particolare gli articoli 35-37 della nuova normativa prevedono la mandatorietà per:

– chi si occupa del trattamento dei dati sensibili sanitari, come ospedali e strutture sanitarie

– aziende che operano sui social network ed usano i dati raccolti per il profiling (web marketing)

> Cosa bisogna fare per adempiere alla nuova normativa sulla privacy

Ricapitolando, per adempiere alle novità previste dalla nuova normativa bisognerà:

– nominare un DPO nei casi previsti dall’articolo 37 della normativa

– modificare l’informativa sulla privacy indicando le finalità del trattamento dei dati e, soprattutto, la scadenza

– procedere alla formazione del personale incaricato del trattamento dei dati

– valutare i possibili rischi ed implementare il livello di sicurezza dei dati

Anche se i cambiamenti possono sembrare pochi sono in realtà molto rilevanti e, in alcuni casi, radicali rispetto alla precedente normativa e, soprattutto, non sono aggirabili, soprattutto tenendo conto della sensibilità sempre più sviluppata degli interessati rispetto alla tutela della Privacy.

Il consiglio é dunque, per evitare di navigare al buio ed incorrere in importanti sanzioni, di rivolgersi ad un consulente esperto in materia che saprà valutare lo stato di rischio e l’implementazione delle procedure necessaria all’adempimento al nuovo Regolamento Europeo.

Previous Post Previous Post
Newer Post Newer Post