Il 25 maggio 2018, il nuovo Regolamento Europeo sul trattamento dei dati personali, noto come GDPR, troverà piena applicazione in tutti gli Stati dell’Unione Europea.
A poco più di due mesi dall’entrata in vigore, sono ancora molte le aziende che non sono pronte per essere in regola con la nuova normativa. Ciò è dovuto in parte alle diverse interpretazioni date al testo del Regolamento, e in parte ai costi che sarebbero necessari per implementare un sistema di protezione dei dati all’altezza delle richieste. In altre parole, molte aziende restano in attesa di vedere le possibili evoluzioni sull’applicazione di tale normativa.
Tuttavia, andando ad esaminare il testo del Regolamento, si nota come molte delle indicazioni in esso contenute possano trasformarsi in utili suggerimenti per la corretta gestione dei dati, per migliorare la trasparenza nella comunicazione e, in ultima istanza, per consolidare il rapporto di fiducia tra azienda e cliente. In una prospettiva “positiva” è quindi utile considerare il nuovo regolamento come foriero di opportunità, piuttosto che come ulteriore aggravio in termini di costi e di gestione. Andiamo quindi ad analizzare in sintesi cosa comporta.
1 – Armonizzazione del quadro normativo a livello Europeo
Il regolamento mira a tutelare i dati personali dei cittadini UE, indipendentemente dalla sede delle aziende che trattano tali dati. In un periodo in cui i dati sono considerati un asset strategico per le imprese, si mira ad eliminare le disparità di trattamento, che possono creare situazioni di svantaggio competitivo tra le Aziende UE e le Aziende situate in Paesi i cui le normative sono maggiormente permissive. L’esistenza di un unico regolamento, inoltre, semplifica la gestione per le imprese che trattano con Clienti residenti in diversi Paesi UE.
2 – Revisione del concetto di Responsabilità
Se fino ad oggi la normativa italiana prevedeva l’esistenza di un responsabile del trattamento e di un titolare del trattamento, il nuovo regolamento mira a identificare un processo di responsabilità all’interno dell’azienda. Sarà quindi necessario certificare sia il procedimento della raccolta e della conservazione dei dati, sia le misure tecniche ed organizzative messe in atto al fine di garantire la sicurezza e l’integrità dei dati. In quest’ottica, viene introdotto il Documento di valutazione d’impatto nel trattamento dei dati – Privacy Impact Assessment – ovvero un’analisi completa sui possibili fattori di rischio relativi alla gestione ed alla custodia dei dati e sulle misure previste per minimizzare eventuali criticità.
3 – Informativa semplice e chiara
L’informativa sul trattamento dei dati non è una novità in Italia, il nuovo regolamento punta però a trasformarla in un reale strumento di informazione nei confronti del soggetto che autorizza all’utilizzo dei suoi dati personali. Si tenderà quindi ad eliminare complicati riferimenti normativi ed a utilizzare piuttosto un linguaggio semplice – anche l’uso di immagini e animazioni può essere valido – che spieghi concretamente per quali fini i dati vengono raccolti e come saranno utilizzati.
4 – Manifestazione del consenso
Conseguenza del punto precedente è la chiara manifestazione del consenso, che deve essere espresso in maniera inequivocabile, anche attraverso comportamenti espliciti. È inoltre previsto che chi ha fornito il consenso all’uso dei suoi dati generati mediante delle app debba ricevere con cadenza semestrale degli avvisi che ricordino l’esistenza di questi consensi e la possibilità di intervenire per revocarli.
5 – Nessuna notifica al Garante
Il nuovo regolamento, come si è detto, punta a sviluppare nelle Aziende una cultura del dato, del suo valore e della sua tutela. In questo senso viene cancellato l’adempimento burocratico di notifica al Garante e viene invece introdotto il Registro dei Trattamenti, un documento interno all’azienda, dove devono essere tracciati tipologie, modalità e finalità del trattamento dei dati. Viene altresì creata la figura del DPO Data Protection Officer, una figura interna all’azienda che deve valutare e controllare la tenuta di tale registro e, più in generale, dei dati.
6 – Notifica delle violazioni
Nel malaugurato caso in cui si verifichino violazioni al sistema di sicurezza dei dati, che portino alla distruzione, perdita, modifica, la rivelazione non autorizzata o all’accesso, in modo accidentale o illecito, ai dati personali trasmessi, memorizzati o comunque elaborati in azienda, questa è obbligata ad inviare, entro 72 ore dalla violazione, una notifica sia al Garante che ai soggetti i cui dati sono inseriti nel Data Base oggetto di tale violazione.
7 – Maggiore tutela dell’interessato
Il regolamento prevede il diritto all’oblio, ovvero alla facoltà di essere “dimenticati” dal database delle aziende: su richiesta, qualsiasi traccia dei dati deve poter essere completamente eliminata dal data base aziendale, un diritto più esteso e più profondo della tradizionale cancellazione e del diritto all’opposizione nell’utilizzo dei dati. Il regolamento prevede inoltre il diritto alla portabilità dei dati: i soggetti potranno chiedere che i propri dati siano interamente trasferiti da un’azienda ad un’altra, di conseguenza le aziende dovranno essere in grado di fornire l’estrazione totale dei dati e il loro facile trasferimento altrove.
