Cerchi un avvocato esperto in
Privacy e Immagine
Guide legali privacy e immagine

Normativa privacy: cosa prevede?

La normativa privacy approvata dall’Unione Europea nel 2016 ed entrata ufficialmente in vigore in tutti gli Stati membri nel 2018, conosciuta come GDPR (General Data Protection Regulation) ha introdotto diverse novità. Vediamole insieme.

Non tutti sanno che il mercato dei dati personali oggi vale davvero molto, e nei prossimi anni continuerà a salire, fino a sfiorare circa 80 miliardi di euro in tutto il mondo nel 2020, solamente in Italia quasi 3 miliardi.

A volta non si ha la netta percezione di tale situazione. SI tratta di un fenomeno che riguarda la vita quotidiana di tutti. Ogni volta che si effettua un acquisto online su Amazon o altri ecommerce, che si utilizza un social network come Facebook o Instagram, e si cerca un luogo nella mappa di Google si comunicano diversi dati personali alle aziende. Tali informazioni devono essere protette per evitare che possano venire “rubate” da enti non autorizzati.

La nuova normativa sulla privacy intende responsabilizzare maggiormente le aziende, costringendole ad un serie di adempimenti volti a trattare i dati nel migliore modo possibile, e ad avere gli strumenti idonei per affrontare delle crisi.

Inoltre, al cittadino deve essere fornita una esaustiva informativa della privacy, per permettergli di scegliere in modo consapevole se fornire o meno le informazioni che lo riguardano. 

Di seguito analizzeremo le novità introdotte con il GDPR, entrate in vigore nel 2018.

Normativa privacy: le novità

Nel 2016 l’Unione Europea dopo un lungo iter ha approvato la nuova normativa sulla privacy, conosciuta come GDPR, General Data Protection Regulation. Le nuove norme sono entrate in vigore ufficialmente nel 2018 in tutti gli stati membri.

Lo scopo è quello di sensibilizzare i cittadini europei in merito alle attività quotidiane che implicano le comunicazione dei propri dati personali, e allo stesso tempo di responsabilizzare le imprese private e gli enti pubblici a trattare nel modo corretto i dati.

Per fare ciò è indispensabile, innanzitutto, fornire una chiara ed esaustiva informativa a chi deve decidere se fornire dei dati o meno. A tal proposito è utile comunicare all’interessato la possibilità di revocare il permesso o di modificare le informazioni.

I titolari del trattamento devono adeguarsi alle nuove regole, e dimostrare di avere fatto tutto il possibile per evitare la diffusione non autorizzata di informazioni sensibili. 

In modo particolare devono:

  • fornire una chiara informativa agli interessati
  • evidenziare lo scopo del trattamento
  • chiarire come vengono conservati i dati e come possono essere eliminati
  • proteggere i dati con misure di sicurezza adeguate
  • avvalersi di un responsabile della protezione dei dati personali, detto anche DPO, Data Protection Officer
  • segnalare eventuali violazioni alle autorità
  • formare adeguatamente il personale

Quindi, a partire dal 2018 non è possibile raccogliere informazioni senza prima specificarne le finalità e fornire indicazioni per la revoca del consenso all’interessato.

Con altre parole, si deve rispettare il cosiddetto diritto all’oblio, ovvero ad essere dimenticati, una volta venuto meno lo scopo del trattamento.

Secondo il principio di responsabilità, detto accountability, si devono prendere delle precauzioni nel caso in cui ci siano divulgazioni non autorizzate di dati. Le aziende, infatti, devono dimostrare di avere fatto di tutto per impedirlo.

Se le disposizioni della nuova normativa sulla privacy non vengono rispettate sono previste sanzioni fino a 20 milioni di euro, ovvero fino al 4% del fatturato. 

Normativa privacy: principio di responsabilizzazione

Il GDPR è stato introdotto per rispondere a precise esigenze, ovvero per armonizzare la normative nell’Ue, per riuscire a regolare in modo uniforme i rapporti con altre parti del mondo.

Lo sviluppo tecnologico, infatti, ha aperto la strada a nuove sfide negli ultimi anni, ed era necessario adottare una nuova politica per uniformare la situazione in tutti gli stati membri. 

La responsabilizzazione dei titolari dei dati personali è finalizzata a creare un approccio proattivo nella considerazione dei rischi collegati all’utilizzo di particolari informazioni, per la libertà e i diritti degli interessati.

Quindi, non è sufficiente informare i cittadini in merito al tipo di uso che viene fatto dei loro dati, ma bisogna anche adottare delle efficaci misure preventive per scongiurare dei problemi. Essere pronti ad affrontare eventuali attacchi e furti di informazioni è indispensabile.

Le autorità infatti, per capire se infliggere o meno una sanzione ai responsabili, valutano se sono state adottate precauzioni adeguate e se è stato fatto tutto il possibile per evitare problemi.

Normativa privacy: data breach

Un altro termine introdotto dalla nuova normativa sulla privacy è il “data breach”, ovvero un incidente nella sicurezza, che ha consentito a soggetti non autorizzati di copiare o rubare dei dati sensibili raccolti da una azienda o ente.

In particolare ci può essere:

  • una perdita accidentale
  • un furto
  • infedeltà aziendale
  • accesso abusivo, quindi non autorizzato, ai sistemi informatici.

Situazioni di questo tipo possono essere molto pericolose, dato che le informazioni possono essere inerenti a carte di credito, conti correnti, segreti industriali, comunicazioni riservate, documenti di identità, ecc.

La nuova normativa sulla privacy prevede che il titolare debba adempiere a specifici obblighi in caso di data breach, visto che quest’ultima può provocare gravi conseguenze ai diretti interessati, come ad esempio limitazione dei diritti, furti di identità, perdite economiche, mancanza di riservatezza e discriminazioni.

Risulta, quindi, evidente quanto sia importante predisporre degli strumenti e delle pratiche adeguate per fronteggiare delle crisi e scongiurare problemi seri.

In tal senso è fondamentale:

  • avere un protocollo di risposta
  • effettuare test periodici
  • avere una copertura assicurativa
  • indagare in merito alla violazione

Tenere un registro degli attacchi subiti è utile per riuscire a studiare la tipologia di violazioni più frequenti e capire dove e come intensificare la sicurezza.

Ad ogni modo, in caso di attacco, il titolare deve informare gli interessati entro 72 ore in merito a:

  • la violazione subita
  • i contatti del responsabile della protezione dei dati, DPO
  • le possibili conseguenze negative
  • le misure messe in atto per rimediare al problema

La comunicazione non è obbligatoria se:

  • se sono state messe in atto preventivamente misure adeguate per evitare danni
  • la comunicazione ad ogni singolo utente comporterebbe a uno sforzo sproporzionato, quindi viene fatta una dichiarazione pubblica

Normativa privacy: il DPO

Il GDPR ha previsto anche una nuova figura, il Data Protection Officer, DPO, cioè un professionista con specifiche conoscenze giuridiche, informatiche e di risk managemente in grado di valutare e organizzare la gestione e protezione dei dati personali.

Tra i suoi compiti possiamo elencare:

  • informare il titolare del trattamento in merito agli obblighi da assolvere secondo quanto previsto dal GDPR
  • assicurarsi che le regole vengono rispettate, e che il personale venga sensibilizzato in merito
  • cooperare con l’autorità di controllo

Si tratta di un ruolo fondamentale, che non deve essere considerato una mera formalità od obbligo da adempiere, ma una opportunità per potere proteggere al meglio di dati.

Vanno quindi evitati i seguenti errori:

  • sottovalutare la sua importanza
  • pensare al massimo risparmio
  • scegliere un individuo con conflitti di interessi

Spesso gli avvocati rappresentano i professionisti più indicati per ricoprire il ruolo di DPO, vista la loro vasta conoscenza in materia. 

Per concludere possiamo dire che al giorno d’oggi il diritto alla riservatezza rischia di essere violato su più fronti. Gli utenti comunicano informazioni sensibili con molta superficialità a volte, per questo è importante fornire istruzioni in merito, cercando di renderli più consapevoli.

Le aziende, d’altro canto, devono essere pronte ad affrontare eventuali situazioni di crisi per evitare di creare danni agli utenti.

La normativa sulla privacy pone, perciò dei limiti e delle regole da rispettare, per evitare che la diffusione incontrollata dei dati personali possa minare i diritti di tutti i cittadini. 

PRIVACY GDPR DPO TRATTAMENTO DATI PERSONALI
Condividi l'articolo:
CERCHI UN AVVOCATO ESPERTO IN PRIVACY E IMMAGINE?
Ho preso visione dell’informativa sulla privacy e acconsento al trattamento dei dati.*

Quanto costa il servizio?
Il costo della consulenza legale, qualora decidessi di proseguire, lo concorderai direttamente con l'avvocato con cui ti metteremo in contatto.