GDPR 2016/679: Cosa cambia per le aziende

E’ finalmente entrato in vigore il nuovo regolamento sulla protezione dei dati personali. A partire dal 25 Maggio 2018 il GDPR 2016/679 diventa il nuovo riferimento per le aziende nella gestione dei dati personali. Regole più stringenti e maggiore controllo da parte dei cittadini dei propri dati personali miglioreranno la consapevolezza dell’importanza di queste informazioni. Tutto questo nel periodo in cui anche il social network più famoso del mondo, Facebook, si scopre “vulnerabile” di fronte alla scoperta della diffusione di informazioni strettamente personali di milioni di utenti. Cosa cambia per le aziende e per i cittadini.

 

L’entrata in vigore del GDPR 2016/679 ha riportato in auge un argomento molto sensibile all’opinione pubblica negli ultimi mesi ovvero la protezione dei propri dati personali e della nostra privacy.

Il nuovo regolamento europeo da un lato vincola in maniera massiccia e sistematica il lavoro di gestione dei dati all’interno delle aziende mentre dall’altro crea i migliori presupposti affinché ognuno di noi (come privati cittadini) possa controllare le proprie informazioni e averne il totale controllo.

Le regole che lo disciplinano infatti vanno ad implementare un sistema di controllo in grado di tracciare in maniera sicura e univoca la diffusione dei dati stessi creando una vera e propria “filiera” tracciabile.

Inoltre l’azienda viene responsabilizzata dovendo nominare delle figure specifiche adibite al trattamento ma soprattutto alla protezione dei dati stessi.

Le sanzioni salate che toccano pesantemente le tasche delle aziende, arrivando a multe del 4% sul fatturato totale dell’impresa.

Il GDPR si inserisce all’interno di un processo di progresso tecnologico a cui l’Europa non si può sottrarre e che impone di istituire una regolamentazione uniforme per tutti gli stati aderenti.

L’obiettivo è quello di armonizzare le normative che riguardano il trasferimento dati per permettere una circolazione coerente delle informazioni tra tutti gli stati membri.

Piccole e grandi aziende dovranno quindi allinearsi alle nuove disposizioni che riguardano principalmente una serie di regole stringenti sull’informativa e il consenso all’uso dei dati personali oltre che norme rigide in caso di violazione dei dati (Data Breach).

Con il GDPR viene introdotta all’interno delle aziende anche una nuova figura, quella del Responsabile della protezione dati o DPO, che sarà il garante della corretta gestione dei dati personali e del rispetto delle norme in tema di breach notification.

Sistemi informatici adeguati (di cui le aziende dovranno dotarsi) dovranno permettere la possibilità di inviare una notifica tempestiva (72 ore) alle autorità competenti e alle persone interessate, in caso di una violazione dei dati sensibili che comporti possibili rischi per i diritti e le libertà delle persone.

Da notare, che il titolare del trattamento dei dati viene investito di forti responsabilità, secondo il principio dell’Accountability, un principio di responsabilizzazione che prevede per il titolare di dover sempre dimostrare la linearità e l’aderenza delle proprie azioni rispetto al Regolamento.

Analizziamo ora nel dettaglio un’altra grande novità introdotta dal GDPR, ovvero l’articolo 17, che stabilisce il diritto all’oblio, la possibilità di cancellazione.

L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

=> Articolo: 12, 15, 19,

a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;

b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento; ,

c) l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;

d) i dati personali sono stati trattati illecitamente;

=> Articolo: 18

e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;

f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.

Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

=> Articolo: 70

=> Motivo: 66

I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:

a) per l’esercizio del diritto alla libertà di espressione e di informazione;

b) per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento; ,

c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 9, paragrafo 2, lettere h) e i), e dell’articolo 9, paragrafo 3;

d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o

e) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.Non saranno esenti dalla normativa anche tutte quelle aziende posizionate al di fuori dall’Unione, ma che intraprendono rapporti commerciali di servizi o prodotti con la stessa.

A vigilare sull’applicazione dei parametri stabiliti dalla norma sarà poi la Commissione Europea.

Tornando all’Italia, la fotografia della situazione attuale ci mostra uno stato di generale impreparazione, oltre la metà delle aziende italiane non si è ancora allineata agli adempimenti previsti ed urge velocizzare il processo, viste le severe sanzioni previste.

Per facilitare l’armonizzazione del Regolamento Europeo alle leggi nazionali è stato poi istituito uno sportello unico, che servirà per dirimere possibili conflitti e promuovere le strategie per raggiungere un approccio uniforme ed universale valido per l’intera Unione Europea.

Questa nuova normativa entra in vigore proprio nel periodo in cui la privacy è entrata prepotentemente agli onori delle cronache con il cosiddetto caso “Cambridge Analytica” che ha coinvolto il più grande ed importante social network al mondo Facebook.

E’ stato infatti scoperto qualche mese fa che un’azienda, appunto Cambridge Analytica, era venuto in possesso dei dati di milioni di utenti attraverso il social network “dalla F maiuscola” utilizzando poi questi dati per influenzare l’esito della campagna elettorale negli U.S.A. .

Per recuperare questi dati l’azienda britannica ha semplicemente creato dei siti che tramite le autorizzazioni di Facebook (che vengono in ogni caso visualizzate ogni qualvolta si compiono questi tipi di operazioni) preleva numerosi dati dal profilo dell’utente che li utilizza potendo tracciare quindi un profilo in base ai “mi piace” espressi o ai commenti effettuati. Secondo le stime di Cambridge Analytica con 70 “mi piace” è possibile conoscere una persona più di un amico, con 150 più dei genitori e con 300 “mi piace” è possibile conoscere la personalità di un soggetto più della sua fidanzata. Questi dati ci fanno quindi capire quanto di noi “diffondiamo” in internet sottovalutando molto spesso i rischi nel farlo.

Ma soprattutto ciò che emerge è un sistema di profilazione estremamente avanzato che non solo ha scopi puramente commerciali come ad esempio consigliarci cosa comprare in base alle nostre ricerche ma bensì cerca di carpire i nostri interessi e le nostre emozioni allo scopo di influenzare le nostre idee.

Mark Zuckerberg, il fondatore di Facebook, ha dovuto rispondere prima al congresso americano e successivamente alla commissione europea in merito alla vicenda. Lui stesso ha ammesso la necessità di adeguare ulteriormente i sistemi di sicurezza e di gestione dei dati facendo esplicito riferimento proprio al GDPR 2016/679 entrato in vigore in questi giorni.

L’importanza di questo regolamento è inoltre sottolineata dalla scelta di Microsoft la quale ha deciso di estendere le misure adottate in Europa su tutta la sua filiera mondiale adottando i sistemi del GDPR 2016/679 in tutti i paesi dove opera.

Attuare poi il regolamento non è difficile. Nel sito www.topsafety.it, ad esempio, nella sezione dedicata al nuovo GDPR è possibile fare una semplice autodiagnosi che permette di conoscere in tempo reale quali misure sono necessarie da adottare ed offre la consulenza necessaria all’adempimento delle stesse.

Un regolamento quindi esaustivo se pur complesso che rende un po’ più difficoltosa la vita delle aziende ma che semplifica ed estende i diritti di noi come cittadini.

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *