GDPR,guida pratica per gli adempimenti della privacy
Come ben sai, dal 25 maggio del 2018 è entrato in vigore, in Italia e in tutti gli Stati membri dell’Uniopne Europea, il nuovo Regolamento sulla Privacy. L’atto che ne ha sancito i principi e le modalità di gestione dei dati è il GDPR, General Data Protection Regulation, cioè il Regolamento n. 679 approvato dalla Comunità Europea nel 2016.
Questa iniziativa legislativa è diventata particolarmente importante dopo i tanti scandali scoppiati durante gli ultimi anni riguardanti l’appropriazione e l’utilizzo dei dati da parte di società specializzate nella raccolta delle informazioni personali dal web, dai social network, dai motori di ricerca e da tutti i gestori di siti che in qualunque modo possono accedere ai dati degli utenti.
Per capire come agire nel concreto per ottemperare alla norma in vigore devi avere ben chiari tre concetti cardine del Regolamento. Il primo è quello di dato personale che comprende tutte le informazioni riguardanti i soggetti identificati o anche solo identificabili e che riguardano il suo nome, le informazioni sulla sua ubicazione fisica, le caratteristiche fisiche, religiose, politiche e sessuali.
Il secondo concetto è il trattamento che riguarda tutte le possibili operazioni che si possono compiere con tali dati. Infine, la profilazione, cioè la valutazione di qualsiasi caratteristica dei soggetti ottenuta con l’elaborazione dei dati di cui si è in possesso.
Bisogna ricordare che i dati che utilizzi semplicemente per migliorare i tuoi servizi e potenziare la tua attività di pubblicità potrebbero essere utilizzati per scopi poco nobili da altri soggetti, per questo motivo sei costretto a gestire le informazioni con estrema cura e attenzione.
Gli adempimenti principali per tutte le imprese, pubbliche o private che siano, sono diversi e molto precisi. Per prima cosa assicurati che siano nominate le due figure più importanti.
La prima è quella del Titolare dei trattamenti dei dati, cioè il soggetto per il quale le informazioni sono raccolte ed elaborate. L’altra è il Responsabile del trattamento dei dati, cioè colui che nel concreto organizza, gestisce ed elabora il contenuto della banca dati.
Questi saranno i soggetti ai quali tutti, dal comune cittadino alle autorità giudiziarie, si rivolgeranno per chiarimenti ed eventuali azioni legali.
Il Cookie policy è quell’informativa obbligatoria che vedi in ogni sito che visiti. Assume varie forme e anche per la tua azienda hai piena libertà di decidere sia come e dove posizionarlo sia i colori da utilizzare, ma sempre con l’accortenza che sia ben visibile e che contenga i link che consentono all’utente di approfondire i suoi diritti.
È sufficiente che tu utilizzi anche un solo cookie per far scattare l’obbligo di disclaimer e ormai non esistono più siti che non ne utilizzino.
Devi sempre richiedere il consenso esplicito al trattamento dei dati all’interessato. Il che vuol dire che non è sufficiente una generica approvazione per le operazioni di raccolta e di elaborazione, ma occorre chiedere espressamente l’autorizzazione indicando per quali precise operazioni verranno utilizzate le informazioni.
Occorre che ti assicuri che esista sempre un’Informativa sulla privacy sia che si tratti di una raccolta dati online sia che riguardi il mondo offline.
Un modulo online e una richiesta cartacea godono dello stesso grado di protezione anche perché quest’ultima finisce sempre in un database informatico. Il Registro dei trattamenti è il documento interno obbligatorio nel quale riporterai nel dettaglio la descrizione delle modalità con le quali vengono trattati i dati. In questo modo le autorità potranno sempre verificare il corretto uso degli stessi e mettere in rilievo le anomalie che potrebbero essere delle spie di un comportamento poco corretto.
Tale documento è obbligatorio per tutte le aziende con più di 250 dipendenti e per quelle con un numero inferiore di personale caratterizzate da una raccolta dati non occasionale o per informazioni sensibili.
Una valutazione di impatto, il Privacy Impact Assessment, è necessario quando si gestiscono dati sensibili. Si tratta di un documento col quale mappi i vari passaggi delle informazioni in modo da mettere in rilievo le possibili criticità e le conseguenti misure assunte per difendere la privacy dei soggetti a cui appartengono i dati.
Il PIA non è solo uno strumento obbligatorio in alcune occasioni, ma è fondamentale per la tua azienda in modo da anticipare eventuali problemi normativi senza tenere conto del fatto che un’azione legale potrebbe portare danni d’immagine irreparabili.
Nel caso in cui la banca dati contenente i dati personali che hai raccolto dovesse subire un attacco è fatto obbligo immediato di darne comunicazione all’autorità di controllo in modo che possano subito essere attivate quelle procedure necessarie a individuare l’autore dell’azione illegale e provare a proteggere i dati rubati nel minor tempo possibile.
Inoltre, se si trattasse di dati altamente sensibili, il Titolare del trattamento dei dati deve informare gli utenti dell’avvenuto furto.
Le conseguenze per chi non ottempera agli obblighi della normativa sulla privacy possono essere anche molto pesanti, fino a danneggiare seriamente i soggetti responsabili e i bilanci delle società coinvolte. Infatti sono previste delle denunce penali per i responsabili dei dati e per chi opera per violare o anche solo aggirare la normativa come previsto dal Codice per la privacy.
Per quanto riguarda le sanzioni economiche possono arrivare a seconda dei casi a 20 milioni di euro o il 4% del fatturato mondiale dell’esercizio precedente.
Ovviamente la normativa distingue quelle che sono le piccole imprese dai grandi colossi sia per la capacità di raccolta dei dati sia per le specifiche caratteristiche e difficoltà nella gestione di queste informazioni per chi ha una struttura estremamente ridotta.
Il Regolamento resta comunque molto duro a tutela dei dati personali del consumatore e del cittadino.