gdpr

GDPR: ovvero la nuova frontiera per la protezione dei dati personali.

E ci siamo… Tra pochi giorni, entrerà effettivamente in vigore il nuovo regolamento europeo sul trattamento dei dati personali e la normativa sulla provacy europea: molti di voi si chiederanno: eh?, guardando nel vuoto, cercando di capire l’acronimo GDPR  cosa significa… Già, ma cosa significa? GDPR sta per “General Data Protection Regulation” ovvero, Regolamento generale per la protezione dei dati personali n°2016/679 .

Questo regolamento, non è un giovincello, poiché sono più di due anni, dal 4 maggio 2016 che il regolamento generale è stato emesso dalla Comunità Europea e poco dopo, in stesura definita è stato adottato ed è entrato in vigore dal 24 maggio 2016 per tutti i paesi facenti parte della Comunità europea, ma la sua attuazione avverrà a distanza di due anni, quindi dal 25 maggio 2018.

Non è una novità che molti titolari d’azienda, non ne sappiano nulla, e spesso, le persone preposte a rendere noto la normativa agli imprenditori, agli artigiani e alle semplici partite IVA, non è stata solerte nel farlo, come commercialisti e consulenti del lavoro, cosa peraltro strana, dato che anche loro, dovranno essere “compliant” ovvero adeguati alla normativa.

Ma di base, di cosa tratta questa normativa?

Rispetto alla direttiva 95/46,  il nuovo regolamento è più diretto ed esplicito, poiché proclama la tutela del diritto alla protezione dei dati personali come diritto fondamentale delle persone fisiche.

• Art. 1 par. 2
Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali

Il principio cardine del nuovo regolamento è il concetto di autodeterminazione informativa; in Germania, la Corte Costituzionale ha dichiarato questo concetto, condizione necessaria per il libero sviluppo della personalità del cittadino ed elemento essenziale di una società democratica.

Il regolamento pone in luce il concetto di Accountability ovvero il “dover rendere conto del proprio operato”, in carico al responsabile del trattamento dei dati personali, che si enfatizza nella concreta adozione da parte del titolare del trattamento dei dati in oggetto di tutte le formule di tutela e garanzia contenute nel GDPR viene rafforzata in modo particolare la necessità di attuare misure di tutela e garanzia dei dati trattati, con un approccio che demanda ai titolari il compito di decidere autonomamente le modalità e i limiti del trattamento dei dati in virtù di quanto indicato nel GDPR:

• Il principio del privacy by design, in base al quale tutti i prodotti e i servizi dovranno essere ideati sin dall’inizio in modo da tutelare la privacy degli utenti, ovvero il trattamento deve essere parte integrante e configurato sin dalla fase di progetto, prevedendo le garanzie per tutelare tutti i diritti degli interessati;
•  il rischio del trattamento, ovvero la valutazione dell’impatto negativo sulle libertà e i diritti degli interessati.

Come esplicitamente indicato, il GDPR, a differenza della normativa precedente, sposta l’attenzione sulla protezione diretta dei dati che sull’utente, poiché sposta l’attenzione come principio base, sulla valutazione del rischio, necessaria a determinare la misura di responsabilità del titolare o del responsabile del trattamento, che valuta la portata, il contesto la finalità del trattamento, nonché la probabilità e la gravità dei rischi per i diritti e le libertà degli utenti.

Di base, il GDPR, è un regolamento che serve da un lato a rafforzare la protezione dei dati personali dei cittadini europei a tutti i livelli e non solo a livello digitale; molti clienti pensano che il nuovo Regolamento generale per la protezione dei dati personali abbia a che fare solo in ambito digitale, ovvero serva a proteggere gli utenti che navigano siti web, social network, blog e simili: questo non è del tutto vero, poiché il GDPR protegge anche i dati personali in qualsiasi formato, digitale, cartaceo e molto altro.

Come ci si prepara al GDPR?

Semplice ma non semplice; la precedente normativa, altro non era che un semplice avviso verso i cittadini che indicava a livello digitale e cartaceo che la compilazione dei dati e la firma in calce al di sotto del documento per il trattamento dei dati personali per il cartaceo, e la spunta di accettazione su form e sistemi di acquisizione dati su siti, app, software e altro li avvertiva che i dati personali, sarebbero stati trattati a “norma di legge”;  il GDPR è maggiormente articolato ed agisce a più livelli.

I titolari d’azienda, i responsabili della privacy e i titolari del trattamento dei dati personali sia dei propri dipendenti che dei propri clienti e fornitori, dovranno fare quanto necessario per essere pronti all’entrata in effettivo vigore del regolamento che stringendo,  potremo riassumere in responsabilità e trasparenza i principi fondamentali del GDPR, che possono essere sintetizzati in questo modo:

•  preparazione del personale e aggiornamento sul regolamento in base alle loro competenze;
•  verifica dei dati trattati, e identificazione del tipo di dati e categorizzazione per la loro distinzione, verifica della finalità e della base giuridica del trattamento e redazione del registro dei trattamenti.
• aggiornamento dell’informativa privacy, informando correttamente e in modo comprensibile gli interessati della base giuridica del trattamento dei propri dati e dei propri diritti, ovvero la rettifica ( modifica dei dati ),  cancellazione ( la cancellazione dei dati da databse e simili ) e l’oblio ( la rimozione dei dati da qualsiasi registro e l’eliminazione da parte del garante di tutti i collegamenti ai dati in oggetto in modo che siano completamente eliminati da una determinata struttura).
• creazione e verifica della procedura per consentire agli interessati di richiedere l’attuazione dei diritti ( rettifica, cancellazione oblio);
• controllo delle modalità di ottenimento del consenso sviluppo una procedura per verificare l’età degli •interessati;
•  valutazione d’impatto del trattamento dei dati;
• creazione di una procedura per eventuali violazioni dei dati;
• designazione di un Data Protection Officer (DPO) o Responsabile per la Protezione dei Dati  (RPD);
– stabilire correttamente l’autorità di vigilanza alla quale si è soggetti.

La Guida del Garante italiano

Il garante della privacy italiano ha pubblicato una Guida (link alla pagina web della Guida) che mostra un ventaglio delle principali problematiche a cui imprese, partite IVA e soggetti pubblici dovranno far riferimento in vista della piena applicazione del regolamento. Sono presenti raccomandazione specifiche e suggerimenti, oltre a segnalare le principali novità, in vista dell’attuazione del nuovo regolamento.

Come agire per evitare di farsi travolgere?

Considerato il fatto che attualmente, sebbene sia tutto molto chiaro, il garante della privacy non ha ancora espressamente definito delle linee guida lineari, precise e definite per ogni singola azienda o tipologia di azienda, in quanto l’argomento GDPR è un animale a più teste che affonda le radici a livello legale, giuridico e tecnico, il nostro consiglio, come del resto anche Media Forge ha fatto, appoggiandoci ad un nostro collaboratore, è quello di contattare un consulente capace che possa aiutarvi a definire i giusti passaggi per evitare di farvi trovare impreparati: va considerato che la mancanza di messa a norma è punibile con multe che vanno dal 4% del fatturato dell’anno precedente ai 10 milioni di €.