GDPR, quattro lettere che stanno mandando in confusione il mondo. Dal 25 maggio entrerà in vigore il Regolamento Europeo per la Protezione dei Dati personali o GDPR, acronimo di General Data Protection Regulation, che sostituirà l’attuale D.Lgs. 196/2003.
GDPR: che cos’è?
Il GDPR è frutto di diversi anni di lavoro da parte della Commissione Europea; il testo ufficiale è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 mentre l’entrata in vigore del GDPR è stata stabilita per il prossimo 25 maggio 2018. Alla base di questa rivoluzione ci sono precise esigenze e tutele da garantire ai cittadini europei: certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali e il rispetto della privacy dall’Unione Europea verso altre parti del mondo.
Le nuove regole del GDPR
In pratica, il Regolamento contiene delle norme relative alla protezione dei dati personali dei cittadini europei. Gli obiettivi principali sono praticamente due, ovvero offrire agli utenti un controllo completo sui propri dati personali e, non meno importante, semplificare il quadro normativo per le imprese che si trovano a gestire tali dati. Per questo, il GDPR viene considerato uno strumento abilitante del mercato digitale, si inserisce nelle politiche della Commissione Europea per lo sviluppo dell’economia digitale e interessa anche chi opera sul Web, e in particolare chi opera nel campo dell’eCommerce e chi gestisce un sistema di newsletter con le mail dei propri utenti o lettori.
Le principali novità del GDPR
Uno dei cardini del GDPR è il cosiddetto Privacy by Design: la protezione dei dati non deve continuare a essere un concetto secondario, ma deve incorporata in prodotti e servizi sin dalla fase di progettazione degli stessi, come fattore nativo e fondamentale. Inoltre, si introduce un’altra importante novità, ovvero il diritto alla cancellazione dei propri dati personali che ciascun utente può richiedere quando non vuole mantenere il consenso al trattamento dei suoi dati e non ci sono ragioni legittime per conservarli. Questo diritto all’oblio si applica anche al titolare che abbia reso pubblici dati, imponendo di trasmettere la richiesta di cancellazione a tutti coloro che li utilizzano. Ulteriore modifica consentirà invece ad una persona di poter trasferire i propri dati personali da un sistema di elaborazione elettronico ad un altro senza che il controllore dei dati possa impedirlo, nell’ottica di una maggiore e più efficiente portabilità dei dati.
Le sanzioni del GDPR
Per essere realmente efficiente il GDPR conta su un regime sanzionatorio molto ben dettagliato, che prevede una severa disciplina di protezione dei dati e soprattutto specifiche e rigide sanzioni finanziarie, che possono raggiungere il 4 % del fatturato globale annuo o 20 milioni di Euro per le società che viola le norme e si rendono colpevoli di mancata osservanza delle regole.
Come adeguarsi alle nuove norme
Per essere conformi al GDPR ed evitare i rischi di sanzione, le aziende devono prepararsi in anticipo, rivedendo le proprie policy e, qualora necessario, adeguandole alle richieste del regolamento. In particolare, le società che raccolgono o trattano dati personali devono spiegare in modo chiaro agli utenti tutte le condizioni che regolano queste operazioni, utilizzando un linguaggio semplice, comprensibile a tutti i cittadini, senza possibilità di equivoco nel redigere termini e condizioni. Inoltre, diventa obbligatorio dichiarare le modalità con le quali verranno elaborati i dati richiesti all’utente, e gli stessi criteri e la stessa responsabilità si applicano per gli strumenti attraverso cui l’utente esprime il proprio consenso.
DPIA: l’analisi dei rischi del trattamento dati
Il Data Protection Impact Assessment (DPIA) è una vera e propria analisi dei rischi concreti generati dal trattamento dei dati. Le aziende devono effettuare una valutazione degli impatti determinati dal trattamento fin dal momento della progettazione del processo aziendale, in particolare nei casi in cui il trattamento presenti rischi specifici per i diritti e le libertà degli interessati.
Il processo prevede tre distinte fasi da svolgersi con cadenza almeno annuale:
- Analisi dei rischi
- Definizione della lista delle criticità (gap list)
- Definizione del programma di intervento (action plan)
In poche parole il Data Protection Impact Assessment è una sorta di “auto-verifica preliminare” che ciascuna azienda deve svolgere in autonomia per avere coscienza dei rischi che il trattamento dei dati personali comporta. I dati già raccolti precedentemente al GDPR non devono essere ritenuti persi: quello che va fatto è sottoporre un’accurata analisi (detta assessment) per considerare e valutare se quei dati possono continuare a essere utilizzati anche alla luce della riforma europea.
Prima che il GDPR sia pienamente operativo, dunque entro il 25 maggio 2018, ogni azienda deve aver effettuato la verifica e definito un programma di raccolta aggiornato secondo le nuove regole. Per rivitalizzare i dati sarà necessario inviare semplicemente una comunicazione chiara ed esplicita che rassicuri il destinatario in merito all’utilizzo e alle finalità dei dati.
Il registro del trattamento
Questo punto riguarda solo le aziende con più di 250 dipendenti, che devono redarre e tenere aggiornato un registro del trattamento contenente:
- Il nome e i dati di contatto del titolare del trattamento
- I dati che vengono trattati
- La descrizione delle categorie di interessati e delle categorie di dati personali
- Le finalità del trattamento
- Le persone che hanno accesso ai dati (all’interno e all’esterno dell’azienda)
- Se i dati vengono trasferiti all’estero
- I termini di cancellazione dei dati (data retention)
- Una descrizione generale delle misure di sicurezza tecniche e organizzative.
La nuova figura del DPO (Data protection Officer)
Con il GDPR 2018 nasce la figura del Data Privacy Officer (DPO), o Responsabile della protezione dei dati personali che, in sintesi, ha il compito di verificare il corretto trattamento dei dati, predisporre il documento di Privacy Impact Assessment e in generale valutare che non vi siano rischi legati al trattamento.
Sarà una figura obbligatoria se:
- Chi tratta i dati è un soggetto pubblico
- Vengono trattati rilevanti quantità di dati personali
- Vengono trattati sistematicamente dati sensibili o giudiziari.
I compiti del DPO sono diversi:
- Informare e consigliare il titolare o il responsabile del trattamento in merito agli obblighi derivanti dal GDPR
- Vigilare su attuazione e applicazione delle politiche del titolare o del responsabile del trattamento
- Verificare l’attuazione e l’applicazione del Regolamento europeo
- Garantire la conservazione della documentazione relativa ai trattamenti
- Controllare che le violazioni dei dati personali siano documentate, notificate e comunicate
- Controllare che il titolare o il responsabile del trattamento effettui la valutazione d’impatto
- Fungere da punto di raccordo per il Garante
Email Marketing e GDRP: cosa cambia?
Nell’Email Marketing cambiano i requisiti per ottenere il consenso. Innanzitutto, uno dei motti del nuovo GDPR è chi tace NON acconsente: attualmente nel nostro Paese vige il meccanismo rigido e formale del consenso espresso, che prevede che il consenso sia valido solo ed esclusivamente quando raccolto tramite dichiarazione dell’interessato di accordo all’utilizzo dei propri dati. In poche parole, non è sufficiente il silenzio-assenso, mentre in altri paesi europei vale la logica del consenso presunto in base ai comportamenti dell’utente: nel Regno Unito, ad esempio, vale il meccanismo dell’opt-out, che presume automaticamente il consenso a meno di una negazione esplicita.
Nell’era del GDPR il consenso è invece valido se manifestato in modo non equivoco attraverso comportamenti concludenti e positivi, con i quali l’interessato manifesta l’intenzione libera, specifica e informata di accettare il trattamento. Il consenso non deve quindi essere esplicitato con una casella già barrata o con la firma di un modulo, ma deve derivare da un’azione compiuta dall’utente. Nulla di nuovo in realtà, se pensiamo ai banner dei cookies. Questo non vuol dire però che non possano più essere utilizzate forme di consenso come le caselle da barrare e i moduli da firmare.
Come sarà chiaro, il GDPR 2018 vieta di inviare email a chi non ha mai chiesto di essere contattato e che non ha sottoscritto il consenso al trattamento. Prendiamo il caso classico dello scambio di biglietti da visita: non sarà possibile aggiungere quei contatti al proprio database, a meno che non venga loro inviata un’email specifica nella quale venga chiesto il permesso. Inoltre, cosa importante, in questa email non è possibile inserire offerte o qualsiasi genere di contenuto promozionale.
I nuovi diritti dei destinatari delle newsletter
Una volta raccolti i dati, le aziende devono essere consapevoli e tutelare i diritti dei destinatari. Con il nuovo regolamento generale sulla protezione dei dati non solo vengono confermati tutti i diritti vigenti, ma ne vengono aggiunti di nuovi. Il destinatario ha il diritto di accedere ai propri dati, e ottenere la conferma che sia o meno in corso un trattamento che lo riguarda. Tra le novità più rilevanti troviamo il diritto all’oblio e il diritto alla portabilità del dato, come detto in precedenza.
Per concludere, il GDPR è una matassa intricata solo in apparenza. Per farsi trovare pronti il 25 maggio servono conoscenze e applicazione, non solo per essere a norma, ma anche per approfittare di un testo di legge che costituisce un fondamentale strumento di competizione, in un mondo in cui i dati rappresentano la materia prima in grado di alimentare la crescita e lo sviluppo dell’impresa.
Noi siamo in grado di mettere a norma la privacy del vostro sito web e di assicurarci che, almeno in questo ambito, siate protetti e che non incorriate in alcuna sanzione. Per qualsiasi informazione, non esitate a contattarci.
