Il nuovo regolamento dell’Unione Europea che disciplina la protezione dei dati delle persone fisiche, Reg. UE numero 679 del 27 Aprile 2016, entrerà in vigore il 25 Maggio 2018.
La nuova disciplina ha un notevole impatto sul modo in cui le aziende gestiscono la privacy. Non basterà più essere conformi con l’attuale D. Lgs. 196/2003 in materia di protezione e riservatezza dei dati.
Il regolamento generale sulla protezione dei dati (GDPR) istituisce una serie di processi molto dettagliati su come gli Stati membri dell’UE disciplinano le informazioni di identificazione personale. Questo livello di panoramica normativa sui dati personali non ha precedenti e richiederà alle aziende di garantire i più alti livelli di protezione della privacy o subire conseguenze finanziarie disastrose.
Cosa comporta il GDPR?
Fondamentalmente, il GDPR protegge i dati degli utenti in modo piuttosto radicale. Il regolamento opera con la consapevolezza che la raccolta e l’elaborazione dei dati forniscono il motore di base su cui si muovono la maggior parte delle aziende, ma si impegna per proteggere i dati in ogni fase e allo stesso tempo fornisce al consumatore il controllo finale su ciò che accade.
Per essere conforme al GDPR, un’azienda deve non solo gestire con cura i dati dei consumatori, ma anche fornire ai consumatori una miriade di modi per controllare, monitorare, verificare e, se richiesto, eliminare qualsiasi informazione pertinente a loro riconducibile.
Per essere conformi le aziende devono mettere in atto una serie di processi e, se del caso, destinare del personale affinché si prenda cura della conformità al nuovo regolamento e quindi alle procedure di sicurezza dei dati. In mancanza di ciò, è bene che le aziende si rivolgano a degli esperti esterni, anche imprese di provata competenza, in modo da assicurare che la gestione, trasmissione e tenuta dei dati elaborati non violino i diritti riconosciuti dal GDPR e che gli stessi rimangano in stato di sicurezza. È importante che i database nei quali i dati sono contenuti non vengano violati e che le informazioni non vengano divulgate. In caso di incidenti come questi, non solo si incorre in pesanti sanzioni ma si deve anche affrontare la richiesta di risarcimento da parte degli utenti.
Per soddisfare questo requisito, GDPR promuove la pseudonimizzazione, l’anonimizzazione e la crittografia.
Anonimizzazione e Pseudonimizzazione
L’anonimizzazione è la crittografia o la rimozione di informazioni identificabili in modo che non possano mai essere collegate ad un certo utente.
La pseudonimizzazione è un processo che sta a metà strada tra informazione identificata e anonima. Con la pseudonimizzazione, i componenti dei dati sono resi anonimi e separati ma possono essere rimessi insieme. Ad esempio, un sistema può assegnare a un utente un identificatore per un certo dato, il luogo di residenza, e un altro per un altro dato che poi può essere legato all’utente solo se è unito alla sua data di nascita, la quale è pero tenuta separatamente.
Il Reg. UE 2016/679 GDPR promuove la pseudonimizzazione rispetto all’anonimizzazione.
Secondo il GDPR, le aziende devono garantire che i soggetti interessati, ovvero i consumatori e tutte le persone fisiche presenti nell’archivio dell’azienda, abbiano il controllo sui loro dati includendo protezioni a tutela dei loro diritti. Le protezioni hanno a che fare con processi e comunicazioni chiari e concisi e devono includere il consenso esplicito e affermativo degli interessati. Non si può agire sulla base del silenzio assenso.
In che modo il regolamento protegge i consumatori?
Il GDPR si applica a tutte le imprese che trattano dati personali di cittadini dell’UE, indipendentemente da dove risiede il cittadino dell’UE. Fate attenzione! Tutti i dati che gestite e che includono nomi, recapiti e quant’altro di persone fisiche, rientrano nel regolamento GDPR. Pertanto, se avete dati di aziende, quindi persone giuridiche, ma in essi sono contenuti anche nomi e recapiti di persone fisiche, quei dati rientrano nella disciplina del GDPR.
Forti sanzioni.
Le violazioni possono costare alle aziende fino a 20 milioni di euro o fino al 4% del loro fatturato globale annuale. Alcune infrazioni sono meno onerose ma rappresentano comunque una penalità significativa.
Consenso.
Consenso semplificato e informato da parte degli interessati. Il consenso deve essere fornito in una forma accessibile e comprensibile, con un chiaro scopo scritto che l’utente può sottoscrivere e l’utente deve poter rinunciare e quindi non concedere più il suo consenso in qualsiasi momento.
Notifica di violazione obbligatoria.
Qualsiasi violazione dei dati che possa “comportare un rischio per i diritti e le libertà delle persone” deve essere segnalata entro 72 ore dalla scoperta. I responsabili del trattamento dei dati (coloro che elaborano dati per conto di un titolare del trattamento) saranno inoltre tenuti a notificare i propri clienti “senza indebito ritardo” dopo aver preso conoscenza di una violazione dei dati. Se voi elaborate date di persone fisiche per vostro proprio conto, siete al tempo stesso Titolari e Responsabili del trattamento di dati personali.
Diritti dei consumatori.
Sono vari, fra essi è incluso il diritto dell’interessato di ottenere copie dei propri dati e informazioni su come viene utilizzato e il diritto all’oblio, noto anche come cancellazione completa dei dati. Inoltre, consentirà ai soggetti interessati di trasferire i propri dati da un fornitore di servizi a un altro (diritto alla portabilità dei dati).
Miglioramento dei sistemi.
Il GDPR richiede che i processi siano costruiti tenendo a mente la protezione dei dati, pertanto si parla di Policy by Design, ovvero di politica della protezione dei dati fin dalla progettazione e non già come un qualcosa che avviene a seguito di una determinata pratica. Insomma, bisogna prevedere.
Protezione specifica per bambini e minori.
Poiché i bambini sono generalmente più vulnerabili e meno consapevoli dei rischi, il GDPR include una guida che richiede il consenso dei genitori per i minori fino a 16 anni.
Attenzione, il nuovo regolamento non riguarda solo chi ha siti web ma tutte le aziende di qualunque ordine, genere e grado che gestiscono dati di persone fisiche. Pertanto, anche le aziende del comparto agricolo, non importa quanto grandi o piccole.
Ovviamente, le piccole aziende hanno meno incombenze rispetto a quelle più strutturate, tuttavia tutti sono obbligati alla conformità con il regolamento.
Potete trovate ulteriori informazioni su questo articolo e in altri sul blog xagria
Se desiderate maggiori informazioni, scriveteci tramite la nostra pagina dei contatti specificando che richiedete il nostro servizio di conformità al GDPR.