Il nuovo GDPR – General Data Protection Regulation – Regolamento generale per la protezione dei dati personali n. 2016/679 è attualmente oggetto di dibattito su vari fronti. Il primo aspetto da chiarire è che le nuove norme mettono al centro la protezione dei dati come diritto fondamentale del cittadino. Il secondo aspetto da chiarire è che se questo diritto è violato dalle aziende e se queste non si adeguano, per prima cosa si rischia una multa pari al 4% del fatturato globale.
Ora le domande più stringenti sono: come fare per adeguarsi? Quali sono nello specifico le azioni che la tua azienda deve intraprendere per proteggere i dati dell’utente?
Facciamo chiarezza prima di tutto spiegando in cosa consiste e cosa prevede il Regolamento generale per la protezione dei dati personali n. 2016/679. Si tratta di una normativa finalizzata ad armonizzare la regolamentazione in materia di protezione dei dati personali all’interno dell’Unione Europea, con un regolamento più esplicito rispetto alla direttiva 95/46 che pone l’accento sulla responsabilizzazione e valutazione del rischio in merito ai dati trattati. Infatti, le nuove norme prevedono:
– accesso più facile alle informazioni sui dati e il loro trattamento e finalità per i cittadini;
– il diritto alla portabilità dei dati che consentirà di trasferire i dati personali tra i vari servizi online;
– l’istituzionalizzazione del diritto all’oblio ovvero il diritto a cancellare il regolamento. Si tratta di un diritto previsto dalla Corte di Giustizia europea, che offre la possibilità di richiedere la rimozione dei dati quando non sussiste l’interesse pubblico alla notizia;
– in presenza di gravi violazioni dei dati dei cittadini l’obbligo di notifica da parte delle aziende;
– il principio dello sportello unico, ovvero un’autorità di vigilanza situata nello stato di origine delle imprese a cui queste aziende dovranno rispondere;
– in caso di violazioni delle norme sanzioni amministrative fino al 4% del fatturato globale delle aziende.
Le aziende non sono ancora preparate ad accogliere in pieno le nuove normative. Per tranquillizzare chi ancora non sa come affrontare in maniera adeguata la questione possiamo sottolineare che con il GDPR si introducono regole più chiare in merito alle informative e al consenso sui dati personali. Si definiscono, inoltre, i limiti al trattamento automatizzato dei dati personali e:
I dati conservati in forma digitale andranno protetti prevedendo firewall, backup e procedure di disaster recovery e i sistemi dovranno essere predisposti per consentire la portabilità dei dati, sarebbe a dire consegnare i dati in un formato in grado di comunicare con altri software entro 30 giorni dalla loro raccolta.
Parte essenziale di tutto il processo è la preparazione dei documenti. Il primo è l’informativa sulla Privacy che non è detto sia unica ma modulata in base ai trattamenti effettuati. L’informativa va personalizzata in base ai dati raccolti e a questo proposito, le vecchie informative vanno aggiornate con i nuovi diritti degli interessati. Corsi di aggiornamento rivolti a chi è incaricato del trattamento dei dati, ad esempio, sono da considerarsi tra le necessarie misure predisposte nel nuovo regolamento, finalizzate ad arginare errori e cattiva gestione.
Enti ed imprese avranno, in sostanza, più responsabilità riguardo la protezione dei dati dei cittadini. L’adeguamento alle nuove regole deve essere considerato per le aziende non un costo ma un investimento. Infatti, la protezione di dati dell’utente-cittadino non vuol dire solo rendere tutto il trattamento più trasparente ma anche assicurare la qualità dei dati stessi. Imprese e PA, dovranno quindi nominare un responsabile per il trattamento (DPO) dei dati che si occupi stabilmente dell’adeguamento al GDPR.
Fonti: Agenda digitale, Protezionedatipersonali.it