Che cos’è
E’ il regolamento Europeo (atto legilativo vincolante che deve essere applicato così com’è in tutte le sue parti in tutti i Paesi membri) generale sulla protezione dei dati (2016/679) che rimpiazza la normativa nazionale attualmente in vigore, il D.Lgs. 196/2003 “Il codice Privacy”.
Il regolamento entrerà in vigore dal 25 maggio 2018 e il trattamento dei dati personali ed in generale della privacy, subirà delle modifiche che andrò a trattare in questo articolo.
Informativa
Va creata una informativa, un documento, una pagina web a seconda dei casi e del contesto in cui ci troviamo, in cui va espresso chiaramente ed in termini semplici come il dato verrà usato e a quali scopi. Per esempio, se un’azienda raccoglie il nome, il cognome e l’indirizzo email per un concorso a premi deve dichiarare se userà questi dati per spedire a quell’indirizzo una notifica di vincita, se la userà per scopi di marketing aziendale o di terze parti (cioè se trasferirà il dato a terze parti e a chi le trasmetterà) e soprattutto per quanto tempo tratterà all’interno del proprio data base questa informazione.
Consenso
Come già da prima, il consenso al trattamento dei dati va dato prima di fare qualsiasi altra azione. Senza di esso non si può procedere al trattamento dei dati nè si ha nessun diritto al trattenerli. Finora il consenso è stato preventivo ed inequivocabile. Secondo il GDPR, il consenso deve essere d’ora in poi:
Libero, specifico, informato, inequivocabile, sempre revocabile.
Il titolare ha l’onere di dimostrare di aver ottenuto il consenso dell’interessato secondo i requisiti di legge.
L’età minima per i minori per poter prestare il proprio consenso in internet e nei social media è di 16 anni. Se gli interessati sono più giovani, servirà l’accettazione da parte del genitore o di chi ne fa le veci.
La prova del Consenso
Il Titolare dovrà essere in grado di dimostrare che ha acquisito il valido consenso dell’utente.
In particolare, il Titolare dovrà essere in grado di dimostrare:
- chi ha prestato il consenso (se online, è preferibile usare identifcativi univoci e non indirizzi IP, come è attualmente prassi);
- il momento in cui il consenso è stato prestato (alcune Autorità indicano come best practice l’uso di timestamp o di una marca temporale);
- le modalità con cui il consenso è stato richiesto;
- a quali trattamenti l’interessato ha prestato il proprio consenso, unitamente ai documenti (privacy/cookie policy) che ha accettato.
La portabilità del dato
L’interessato ha diritto di ricevere i dati comunicati ad un titolare in formato elettronico, di uso comune, leggibile e riutilizzabile per poterli conservare e/o trasferire ad altro titolare.
Il trasferimento può essere anche gestito direttamente tra i titolari coinvolti, se tecnicamente fattibile. Il diritto alla portabilità riguarda esclusivamente i dati:
- trattati con strumenti automatizzati;
- il cui trattamento si basa sul consenso dell’interessato o su contratto;
- trasmessi direttamente dall’interessato (non i dati derivati, o “metadata”).
In questo caso, per esempio, l’interessato può richiedere che i propri dati vengano trasferiti da un gestore di telefonia all’altro per passaggio di contratto.
Il Diritto all’oblio e conservazione limitata
L’utente ha diritto di richiedere al titolare la cancellazione dei dati che lo riguarda in qualsiasi momento, se i dati non sono più necessari per gli scopi per cui sono stati raccolti, se sono trattati illecitamente o, per esempio, se l’interessato si oppone lecitamente al loro trattamento.
Le richieste di cancellazione dell’interessato possono essere disattese quando potrebbero compromettere altri diritti o interessi. Per esempio:
- quando entra in gioco il diritto della libertà di espressione ed informazione;
- per adempiere ad un obbligo legale, per ragioni di pubblico interesse (anche nel settore della sanità pubblica) o nell’esercizio di pubblici poteri;
- per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Comunque il dato va trattenuto soltanto finchè serve allo scopo per cui è stato raccolto: dopo di che va cancellato.
Adempimenti off line: un nuovo approccio
In sostanza ci viene chiesto di cambiare il nostro approccio aziendale e di agire Privacy First. Non si deve più pensare al trattamento dei dati come ad una serie di adempimenti formali. Ma di un nuovo processo produttivo aziendale rivisto in base alla normativa sulla privacy. Il GDPR, infatti, attribuisce un ruolo centrale alla responsabilizzazione (accountability) del titolare e del responsabile del trattamento atto a minimizzare il ricorso al dato, utilizzando sempre l’approccio meno invasivo in termini di dati personali (privacy by default).
Inoltre si introduce un altro termine, Privacy by design, cioè l’obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti a tutela dei dati personali.
E in generale va fatta:
- una Valutazione basata sul rischio
- e va tenuto un Registro dei trattamenti per aziende con più di 250 dipendenti
Privacy by design e privacy by default quindi, cioè l’obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti a tutela dei dati personali.
DATA PROTECTION IMPACT ASSESSMENT (DPIA)
I soggetti coinvolti e i casi in cui è necessario
Il DPIA è il processo interno all’organizzazione che permette al titolare:
- di valutare preventivamente i rischi inerenti ad una nuova attività di trattamento (procedure e misure di sicurezza da adottare, stima dei rischi dei diritti degli interessati durante il trattamento) se durante questo momento il titolare si accorge che trattando il dato c’è un elevato rischio di, per esempio, compromissione di altri diritti, deve avvisare il Garante della Privacy;
- di rendere effettivi i principi di privacy by design e privacy by default.
REGISTRO DEL TRATTAMENTO
E’ un documento obbligatorio solo per organizzazioni con più di 250 dipendenti.
E deve riportare, riassumendo:
- Quali dati vengono trattati
- Le finalità del trattamento
- Chi accede ai dati (all’interno e all’esterno)
- Se c’è trasferimento all’estero
- Termini di cancellazione dei dati (data retention)
- Misure di sicurezza adottate
Data Protection Officer (DPO)
Il Regolamento prevede una nuova figura con una conoscenza approfondita della legislazione in materia di protezione dei dati: il Data Protection Officer (DPO), cioè del Responsabile della protezione dei dati personali, il cui ruolo comprende l’assistenza al titolare del trattamento o al responsabile del trattamento per il controllo della conformità interna al GDPR. Questo soggetto è obbligatorio quando chi tratta i dati sia un soggetto pubblico e, per i privati, quando le attività principali consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala e quando consistono nel trattamento, su larga scala, di dati sensibili o giudiziari.
Data Breach Notification
Il Data Breach Notification è obbligo di informare (entro 72 ore dall’accaduto) le autorità delle eventuali violazioni dei sistemi di sicurezza che possano determinare in maniera accidentale o illecita la distruzione e conseguente perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati.
La normativa è piuttosto complessa. Se hai dei dubbi per quanto riguarda se il tuo sito è adeguato al nuovo Regolamento non esitare a
contattarmi.
Lascia un Commento
Vuoi partecipare alla discussione?Sentitevi liberi di contribuire!