GDPR: il Regolamento Generale sulla Protezione dei Dati, risorse per informarsi

GDPR è la sigla che stiamo imparando tutti a conoscere: è il Regolamento Generale sulla Protezione dei Dati – Regolamento dell’Unione Europea n. 2016/679 del 27 aprile 2016 – che andrà in piena applicazione il 25 maggio 2018 per uniformare la protezione dei dati personali dei cittadini europei e riguarda anche l’esportazione dei dati fuori dall’Unione Europea.

I tempi cambiano, lo fanno velocemente e trattare i dati nel 1995, anno dell’introduzione della prima normativa sulla privacy, non è come farlo nel 2018: basta pensare all’avvento di internet per capire quanto sia cambiato il mondo, anche quello del business, e il trattamento dei dati che le persone cedono a enti, aziende e non solo per finalità di marketing. Proteggere l’identità delle persone e i dati che le descrivono, prevenire le infrazioni e contrastare chi commette atti criminali appropriandosi dei dati, è un compito primario per la sicurezza e la vita di ogni cittadino ed è necessario che tutta l’Europa si comporti in maniera uniforme.

Il GDPR riguarda ogni persona, ente, azienda o istituzione pubblica o privata che tratta dati personali, con modalità diverse a seconda di chi li raccoglie e del tipo di dati, dalle informazioni sanitarie fino all’iscrizione online su un e-commerce, anche piccolissimo. Ti riguarda, quindi, anche se sei un freelance che lavora da solo con la sua partita IVA o se sei un piccolo o piccolissimo imprenditore.

Cosa cambia dal 25 maggio 2018 con l’avvento del GDPR in Italia

L’entrata in vigore del Regolamento Europeo non manda in pensione il Garante della Privacy, che rimane il soggetto di riferimento e si occuperà di introdurre e integrare il Regolamento con le normative in vigore in Italia.

Il Regolamento Europeo è complesso e le realtà più strutturate e che trattano molti dati hanno bisogno di interventi specifici per adeguarsi e rispettare la nuova normativa. Se lavori in proprio o hai una piccola attività e non sei sicuro di poter fare da te per adeguarti al Regolamento Europeo, non rischiare e chiedi una consulenza a chi se ne occupa di professione. In questo post trovi alcuni riferimenti utili per capire meglio di cosa si tratta.

Ecco alcuni degli aspetti delineati all’interno del regolamento Europeo

Informativa e consenso al trattamento dei dati

È uno degli aspetti che riguarda tutti, anche chi raccoglie solo gli indirizzi mail per mandare una newsletter ai suoi iscritti. La normativa attuale impone già la notifica e la raccolta del consenso ma il Regolamento Europeo specifica che l’informativa sul trattamento dei dati deve essere completa e comprensibile, cioè spiegare con chiarezza e con un linguaggio adeguato chi tratterà i dati, per quale fine lo farà, dove li tratterà e naturalmente quali sono i diritti di chi li cede a chiunque stia per dare il consenso che quindi sarà davvero il più “informato” possibile.

Chiunque raccolga i dati deve essere in grado di dimostrare l’ottenimento del consenso e non può darlo per tacito o presunto: per esempio, non si può pre-contrassegnare una casella che iscriva automaticamente una persona alla newsletter quando sta completando un acquisto o compilando un form di richiesta di informazioni.

Il Regolamento specifica quali contenuti devono essere presenti all’interno di ogni informativa.

Diritti degli interessati

Il Regolamento elenca le modalità di esercizio dei diritti e le deroghe. Si parla di:

  • accesso ai dati
  • cancellazione (oblio)
  • limitazione del trattamento
  • diritto alla portabilità dei dati

Titolare, responsabile e incaricato del trattamento

Il Regolamento definisce queste figure e le loro responsabilità e vi rientra anche la figura del DPO, Data Protection Officer, obbligatorio solo per alcune aziende ed enti a seconda della quantità o della tipologia di dati trattati, e che identifica la figura che aiuta il responsabile del trattamento dei dati a gestirli nella maniera migliore.

Registro dei trattamenti

Qualunque azienda o ente che impieghi più di 250 persone (o meno, ma solo quando effettua trattamenti a rischio) deve tenere un Registro dei trattamenti che il Garante potrà eventualmente consultare.

Notifica delle violazioni di dati personali e trasferimento dei dati verso paesi terzi

Il Regolamento disciplina anche come e in che tempi debbano essere comunicate le eventuali violazioni dei dati personali e il trasferimento di dati verso Paesi terzi e organismi internazionali.

Sanzioni

Il Regolamento Europeo indica le sanzioni massime previste: ogni Paese, attraverso la sua legislazione, provvederà ai controlli sulla gravità e la tipologia dell’infrazione e a sanzionare di conseguenza chi l’ha commessa.

Link utili sul GDPR