GDPR: le principali novità

Pubblicato da il 04/06/2018 in risparmio -

Nei giorni scorsi siamo stati tutti destinatari di molte email che ci informavano dell’adeguamento delle aziende alla nuova regolamentazione europea in materia di protezione dei dati personali, il GDPR (General Data Protection Regulation). Il 25 maggio infatti è divenuta efficace questa nuova normativa che mira a tutelare i nostri dati personali. Ma cos’è veramente cambiato? Quali sono le novità per l’utente medio? Cerchiamo di fare chiarezza.

Privacy by design e Privacy by Default

Chi tratta i dati deve adottare le misure tecniche e organizzative adeguate a garantire i principi della protezione dei dati sin dal momento della progettazione e dell’impostazione dei sistemi di trattamento: si tratta di un’inversione di rotta rispetto al tradizionale modo di intendere la privacy nell’ambito delle aziende, che richiede che i principi relativi alla protezione dei dati personali siano considerati sin dall’inizio di nuovi progetti.

Stop al burocratese

Le nuove informative privacy devono essere scritte in un linguaggio chiaro e semplice, illustrare chiaramente per quali scopi vengono raccolti i dati e per quanto tempo essi verranno conservati. Per le aziende diviene dunque fondamentale riflettere su quali siano i loro reali bisogni e quali informazioni sui clienti siano effettivamente utili ai loro scopi. Il consenso deve essere posto come un atto positivo inequivocabile, ad esempio attraverso la spunta di una casella, sono bandite le caselle precompilate o altre modalità come il silenzio assenso.

Diritti

Gli articoli dal 15 al 22 della nuova regolamentazione si occupano di tutelare alcuni diritti degli utenti rispetto al trattamento dei propri dati:

  • Diritto all’accesso: i dati devono essere visionabili dall’utente, che deve sapere come e per quali scopi sono raccolti e utilizzati;
  • Diritto alla rettifica: è possibile richiedere che i propri dati inesatti vengano corretti;
  • Diritto all’oblio: nel caso in cui i dati siano stati prelevati in modo illecito o non siano più utilizzati per gli scopi dichiarati, l’utente può richiederne la rimozione. L’ente che li ha richiesti dovrà, inoltre, occuparsi di trasmettere la richiesta di rimozione anche alle aziende terze che si sono servite successivamente dei dati;
  • Diritto di portabilità dei dati: si tratta della possibilità di scaricare tutti i propri dati (o di richiedere al titolare la trasmissione degli stessi in un formato di uso comune e leggibile da un dispositivo automatico) per trasmetterli a qualcun altro. Un esempio pratico è la possibilità di scaricare i propri dati Facebook e utilizzarli su un altro social network;
  • Diritto di limitazione: l’interessato ha il diritto di ottenere dal titolare la limitazione del trattamento se, ad esempio, ha contestato l’esattezza dei dati o si è opposto al trattamento, per il periodo necessario al titolare del trattamento per effettuare le verifiche del caso;
  • Diritto di opposizione: si tratta della possibilità di opporsi al trattamento dei propri dati per finalità, ad esempio, di marketing o profilazione;
  • Diritto di intervento umano: l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
Il DPO e il registro dei trattamenti

Le imprese devono individuare, nel proprio organico o esternamente, il Data Protection Officer, cioè il Responsabile della Protezione dei Dati. Compito di questa figura è facilitare l’osservanza delle disposizioni della normativa relativa alla protezione dei dati personali e promuovere la cultura della protezione dei dati all’interno dell’azienda, svolgendo attività di sensibilizzazione, controllo e supporto strategico.
Le aziende sono, inoltre, tenute a conservare il registro dei trattamenti. Si tratta di un documento utile per mappare i trattamenti svolti all’interno dell’azienda, oltre alle modalità e le finalità del trattamento dei dati, oltre che dell’eventuale trasmissione d’essi a Paesi terzi o altre aziende. Sono esonerate da questo obbligo le PMI con meno di 250 dipendenti, a meno che non effettuino trattamenti di dati particolari (ad esempio, dati relativi alla salute) o relativi a condanne penali e reati.

Notifiche di data breach

Nel caso in cui avvenissero delle violazioni dei dati personali, analoghe ad esempio al caso Cambridge Analytica, le aziende sono ora tenute a informare le autorità entro e non oltre 72 ore. Questa regola vale nel caso in cui sia ravvisato un rischio per i diritti e le libertà degli interessati.

Possibilità di class action

Il GDPR definisce anche la possibilità di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro attive nel campo della protezione dei dati personali e avviare azioni collettive al fine di presentare dei reclami relativi alla tutela dei propri dati.

Sicurezza e Paesi terzi

Diverse regole definiscono la modalità di protezione dei dati, tra le principali: la cifratura e la pseudonimizzazione (l’impossibilità di identificare il soggetto senza l’aiuto di informazioni aggiuntive). Il trasferimento di dati a Paesi terzi è consentito solo nel caso di continuità con le norme europee o se i paesi in questione presentano delle garanzie adeguate per il trasferimento (come, ad esempio, una decisione di adeguatezza della Commissione europea).

Minori

Per l’erogazione di servizi a minori di 16 anni è necessaria l’autorizzazione dei genitori o del tutore. Molte piattaforme hanno cercato di uniformarsi alla normativa, anche se i risultati non sono sempre stati soddisfacenti. I Paesi membri potranno modificare questo limite, che non potrà essere portato, però, al di sotto dei 13 anni.

Inasprimento delle sanzioni

Le sanzioni rispetto al passato si sono inasprite e, a seconda dei casi, impongono multe di importi prestabiliti o determinati in base ad una percentuale del fatturato dell’azienda colpevole di irregolarità.

 

Rendimax banner

SCRIVI UN COMMENTO

Premendo il pulsante di invio dichiaro di aver preso visione delle Web Privacy Policy ai sensi del Regolamento (UE) 2016/679. I dati personali forniti saranno acquisiti da Banca IFIS S.p.A. che li tratterà, in qualità di Titolare, esclusivamente per adempiere alla richiesta.

Feed RSS