La normativa privacy approvata dall’Unione Europea nel 2016 ed entrata ufficialmente in vigore in tutti gli Stati membri nel 2018, conosciuta come GDPR (General Data Protection Regulation) ha introdotto diverse novità. Vediamole insieme.
Non tutti sanno che il mercato dei dati personali oggi vale davvero molto, e nei prossimi anni continuerà a salire, fino a sfiorare circa 80 miliardi di euro in tutto il mondo nel 2020, solamente in Italia quasi 3 miliardi.
A volta non si ha la netta percezione di tale situazione. SI tratta di un fenomeno che riguarda la vita quotidiana di tutti. Ogni volta che si effettua un acquisto online su Amazon o altri ecommerce, che si utilizza un social network come Facebook o Instagram, e si cerca un luogo nella mappa di Google si comunicano diversi dati personali alle aziende. Tali informazioni devono essere protette per evitare che possano venire “rubate” da enti non autorizzati.
La nuova normativa sulla privacy intende responsabilizzare maggiormente le aziende, costringendole ad un serie di adempimenti volti a trattare i dati nel migliore modo possibile, e ad avere gli strumenti idonei per affrontare delle crisi.
Inoltre, al cittadino deve essere fornita una esaustiva informativa della privacy, per permettergli di scegliere in modo consapevole se fornire o meno le informazioni che lo riguardano.
Di seguito analizzeremo le novità introdotte con il GDPR, entrate in vigore nel 2018.
Nel 2016 l’Unione Europea dopo un lungo iter ha approvato la nuova normativa sulla privacy, conosciuta come GDPR, General Data Protection Regulation. Le nuove norme sono entrate in vigore ufficialmente nel 2018 in tutti gli stati membri.
Lo scopo è quello di sensibilizzare i cittadini europei in merito alle attività quotidiane che implicano le comunicazione dei propri dati personali, e allo stesso tempo di responsabilizzare le imprese private e gli enti pubblici a trattare nel modo corretto i dati.
Per fare ciò è indispensabile, innanzitutto, fornire una chiara ed esaustiva informativa a chi deve decidere se fornire dei dati o meno. A tal proposito è utile comunicare all’interessato la possibilità di revocare il permesso o di modificare le informazioni.
I titolari del trattamento devono adeguarsi alle nuove regole, e dimostrare di avere fatto tutto il possibile per evitare la diffusione non autorizzata di informazioni sensibili.
In modo particolare devono:
Quindi, a partire dal 2018 non è possibile raccogliere informazioni senza prima specificarne le finalità e fornire indicazioni per la revoca del consenso all’interessato.
Con altre parole, si deve rispettare il cosiddetto diritto all’oblio, ovvero ad essere dimenticati, una volta venuto meno lo scopo del trattamento.
Secondo il principio di responsabilità, detto accountability, si devono prendere delle precauzioni nel caso in cui ci siano divulgazioni non autorizzate di dati. Le aziende, infatti, devono dimostrare di avere fatto di tutto per impedirlo.
Se le disposizioni della nuova normativa sulla privacy non vengono rispettate sono previste sanzioni fino a 20 milioni di euro, ovvero fino al 4% del fatturato.
Il GDPR è stato introdotto per rispondere a precise esigenze, ovvero per armonizzare la normative nell’Ue, per riuscire a regolare in modo uniforme i rapporti con altre parti del mondo.
Lo sviluppo tecnologico, infatti, ha aperto la strada a nuove sfide negli ultimi anni, ed era necessario adottare una nuova politica per uniformare la situazione in tutti gli stati membri.
La responsabilizzazione dei titolari dei dati personali è finalizzata a creare un approccio proattivo nella considerazione dei rischi collegati all’utilizzo di particolari informazioni, per la libertà e i diritti degli interessati.
Quindi, non è sufficiente informare i cittadini in merito al tipo di uso che viene fatto dei loro dati, ma bisogna anche adottare delle efficaci misure preventive per scongiurare dei problemi. Essere pronti ad affrontare eventuali attacchi e furti di informazioni è indispensabile.
Le autorità infatti, per capire se infliggere o meno una sanzione ai responsabili, valutano se sono state adottate precauzioni adeguate e se è stato fatto tutto il possibile per evitare problemi.
Un altro termine introdotto dalla nuova normativa sulla privacy è il “data breach”, ovvero un incidente nella sicurezza, che ha consentito a soggetti non autorizzati di copiare o rubare dei dati sensibili raccolti da una azienda o ente.
In particolare ci può essere:
Situazioni di questo tipo possono essere molto pericolose, dato che le informazioni possono essere inerenti a carte di credito, conti correnti, segreti industriali, comunicazioni riservate, documenti di identità, ecc.
La nuova normativa sulla privacy prevede che il titolare debba adempiere a specifici obblighi in caso di data breach, visto che quest’ultima può provocare gravi conseguenze ai diretti interessati, come ad esempio limitazione dei diritti, furti di identità, perdite economiche, mancanza di riservatezza e discriminazioni.
Risulta, quindi, evidente quanto sia importante predisporre degli strumenti e delle pratiche adeguate per fronteggiare delle crisi e scongiurare problemi seri.
In tal senso è fondamentale:
Tenere un registro degli attacchi subiti è utile per riuscire a studiare la tipologia di violazioni più frequenti e capire dove e come intensificare la sicurezza.
Ad ogni modo, in caso di attacco, il titolare deve informare gli interessati entro 72 ore in merito a:
La comunicazione non è obbligatoria se:
Il GDPR ha previsto anche una nuova figura, il Data Protection Officer, DPO, cioè un professionista con specifiche conoscenze giuridiche, informatiche e di risk managemente in grado di valutare e organizzare la gestione e protezione dei dati personali.
Tra i suoi compiti possiamo elencare:
Si tratta di un ruolo fondamentale, che non deve essere considerato una mera formalità od obbligo da adempiere, ma una opportunità per potere proteggere al meglio di dati.
Vanno quindi evitati i seguenti errori:
Spesso gli avvocati rappresentano i professionisti più indicati per ricoprire il ruolo di DPO, vista la loro vasta conoscenza in materia.
Per concludere possiamo dire che al giorno d’oggi il diritto alla riservatezza rischia di essere violato su più fronti. Gli utenti comunicano informazioni sensibili con molta superficialità a volte, per questo è importante fornire istruzioni in merito, cercando di renderli più consapevoli.
Le aziende, d’altro canto, devono essere pronte ad affrontare eventuali situazioni di crisi per evitare di creare danni agli utenti.
La normativa sulla privacy pone, perciò dei limiti e delle regole da rispettare, per evitare che la diffusione incontrollata dei dati personali possa minare i diritti di tutti i cittadini.
A questo link trovi le informazioni e la possibilità di attivarla con lo sconto del 50% ovvero 60€ + iva anziché 120€.
Scopri l'AcademyA questo link trovi le informazioni e la possibilità di attivarla con lo sconto del 75% ovvero 90€ + iva anziché 360€.
Scopri il servizio Premium