GDPR privacy: che cos’è il Regolamento Generale sulla Protezione dei Dati
Il GDPR, acronimo di General Data Protection Regulation, è il Regolamento UE 2016/679 che mira a rafforzare la protezione dei dati personali dei cittadini dell’Unione europea e dei residenti nell’UE, sia all’interno che all’esterno dei confini dell’UE, e a semplificare il contesto normativo che riguarda gli affari internazionali, unificando i regolamenti dentro l’UE.
Entrato in vigore il 24 maggio 2016 e operativo dal 25 maggio 2018, il GDPR cambia le regole sulla raccolta, l’utilizzo e la conservazione dei dati personali al fine di creare un insieme unico di regole comuni a tutti Paesi membri dell’UE e assicurare una maggiore tutela dei cittadini europei.
Tra le principali novità introdotte dal Regolamento Generale sulla Protezione dei Dati ci sono il diritto alla portabilità dei dati e il diritto all’oblio, il principio di Accountability e la nuova figura del Data protection officer (DPO).
GDPR privacy by design e privacy by default
Il testo del Regolamento Generale sulla Protezione dei Dati obbliga enti pubblici e privati, imprese, associazioni e professionisti ad adottare una serie di misure tecniche e organizzative necessarie a proteggere i dati personali delle persone fisiche con riferimento anche ai dati personali particolari o sensibili e ai dati personali relativi a condanne penali o reati.
Con l’entrata in vigore del Regolamento UE 2016/679 all’utente viene assicurato il diritto a ricevere un’informazione corretta e trasparente sull’utilizzo dei suoi dei dati personali che devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità.
Tale diritto è garantito dall’informativa sulla privacy, il documento che il titolare del trattamento deve fornire all’utente prima del trattamento dei dati personali per permettere all’interessato di rendere valido il consenso.
Il consenso deve essere, in tutti i casi, libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto. Inoltre, può essere revocato in qualsiasi momento senza che l’azione pregiudichi la liceità del trattamento basata sul consenso prima della revoca.
È importante ricordare che la richiesta del consenso al trattamento dei dati personali e la richiesta di invio di materiale pubblicitario devono essere separate e non possono essere presentate precompilate.
Il GDPR contiene inoltre due nuovi principi sanciti dall’articolo 25 del regolamento europeo:
- Privacy by design: significa che le aziende devono tenere conto della protezione dei dati sin dalla progettazione di un servizio o di un prodotto che implichi la raccolta di dati personali;
- Privacy by default: le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.
Come adeguarsi al GPDR: 10 consigli per rispettare la normativa
Vediamo insieme quali sono le dieci tappe del percorso di adeguamento al GPRD:
- Effettuare un audit interno per fotografare lo stato del proprio sistema di privacy e definire un piano di conformità alle disposizioni (compliance) che comprenda la cosiddetta valutazione di impatto privacy (DPIA);
- Documentare tutti i tipi di trattamenti svolti, analizzando le categorie di dati trattati e i soggetti interessati, le finalità per cui i dati vengono acquisiti e trattati, i tempi di conservazione e le misure tecniche e organizzative adottate, al fine di predisporre un piano di intervento per l’adeguamento al regolamento europeo;
- Revisionare le informative sulla privacy, i moduli di consenso e le clausole per il “trattamento dei dati personali” presenti nei contratti sia dei dipendenti che dei fornitori;
- Predisporre e mantenere aggiornato il Registro delle attività del trattamento dei dati personali, contenente tutti gli elementi indicati nell’art. 30 del GDPR;
- Nominare un Data protection officer (DPO), ovvero un Responsabile per la protezione dei dati. Il DPO è un consulente tecnico e legale con potere esecutivo che deve possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse e operare alle dipendenze del titolare o del responsabile del trattamento oppure sulla base di un contratto di servizio. Compiti e responsabilità del DPO sono descritti nell’art. 39 del regolamento europeo;
- Adottare le misure tecniche ed organizzative necessarie per garantire e dimostrare che le operazioni di trattamento dati vengono effettuate in conformità al principio di Accountability;
- Valutare i possibili rischi legati alle attività di trattamento dati e mettere in atto misure tecniche e organizzative (Privacy by design e Privacy by default) allo scopo di evitare possibili sanzioni e richieste di risarcimento danni nel caso in cui si verifichi una violazione dei dati personali (Data Breach);
- Revisionare i presupposti normativi sui quali si fondano i trattamenti dei dati personali e registrarli;
- Valutare l’adozione di procedure di pseudonimizzazione dei dati e l’uso della crittografia;
- Definire le procedure per la rilevazione, segnalazione e l’indagine di Data Breach entro 72 ore dalla conoscenza dell’evento.