È entrato in vigore il nuovo regolamento sul delicato tema del trattamento dei dati personali: il GDPR. C’è ancora confusione e molte aziende sono ancora impreparate. Facciamo chiarezza e capiamo quali sono le principali novità.
I recenti casi di Facebook e Cambridge Analytica hanno dimostrato ancora una volta come i dati sensibili delle persone non siano al sicuro e spesso vengano utilizzati per scopi diversi da quelli autorizzati. Il forte aumento di questi casi è il motivo che ha spinto le autorità europee a introdurre il Regolamento Generale sulla Protezione dei dati (General Data Protection Regulation – GDPR). Messo a punto già nel 2016 è entrato in vigore per tutti gli Stati membri dell’Unione europea lo scorso 25 maggio, comportando una serie di novità sia per le aziende sia per i cittadini.
Cosa è il GDPR?
Il GDPR è stato progettato per rimuovere i differenti regolamenti nazionali sulla privacy e armonizzarli in un’unica legge per tutti gli Stati membri dell’Unione europea, molto più facile da comprendere, seguire e far rispettare. Di conseguenza, dovrebbe garantire una protezione maggiore ai cittadini dell’UE, mentre obbliga imprese ed enti ad assumersi maggiori responsabilità.
Quali novità per i cittadini?
Il nuovo regolamento introduce regole più chiare su informativa e consenso e pone le basi per l’esercizio di nuovi diritti da parte dei cittadini. Ecco quali:
Il diritto di accesso
Grazie a questo nuovo diritto il cittadino può chiedere all’azienda la conferma dell’esistenza o meno di dati personali che lo riguardano e per quale scopo vengono utilizzati. Inoltre, ha il diritto di ricevere, in maniera gratuita, una copia in formato elettronico dei dati personali oggetto di trattamento.
Il consenso
Capire gli scopi di utilizzo dei propri dati d’ora in avanti sarà più semplice. La richiesta di consenso dovrà essere espressa dall’azienda in una forma chiara e facilmente comprensibile al cittadino. Non solo. Le aziende possono conservare e utilizzare solo i dati assolutamente necessari per l’attività di business.
Il diritto all’oblio
La vera novità che arriva con il GDPR riguarda il diritto all’oblio, vale a dire la richiesta di cancellazione dei propri dati personali e l’obbligo dell’azienda di tramettere la richiesta a tutti coloro che li utilizzano. A questo si affianca anche il diritto di limitazione al trattamento e di rettifica.
La portabilità dei dati
Nel nuovo regolamento viene introdotto il diritto alla “portabilità” dei propri dati personali per trasferirli da un’azienda a un’altra. Fanno eccezione i dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi, per i quali il diritto non può essere esercitato. È invece vietato in ogni caso il trasferimento di dati personali verso Paesi extra Ue o enti internazionali che non rispondono agli standard di sicurezza in materia di tutela della privacy.
Quali novità per le aziende?
Allo stesso tempo il GDPR definisce i limiti al trattamento automatizzato dei dati personali e stabilisce norme rigorose per i casi di violazione. Nel dettaglio:
L’ambito territoriale
Probabilmente, il più grande cambiamento nel panorama normativo della privacy dei dati viene fornito con l’estesa giurisdizione del GDPR. Il regolamento infatti si applica a tutte le società che trattano i dati personali di cittadini dell’Unione, indipendentemente dalla sede della società. In altre parole, le nuove norme devono essere rispettate anche dalle aziende situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue.
Le sanzioni
La violazione del nuovo regolamento comporta dei provvedimenti. L’azienda che non rispetta le norme previste nel GDPR può andare incontro a una sanzione fino al 4% del fatturato annuo o 20 milioni di euro (a seconda di quale sia maggiore). L’ammontare dipende dalla gravità della violazione.
L’avviso di violazione
L’eventuale violazione dei dati personali, che possa comportare un rischio per i diritti e le libertà delle persone, deve essere comunicata dall’azienda ai diretti interessati entro 72 ore dalla conoscenza del problema.
La figura del DPO (Data Protection Officer)
Per assicurare una gestione corretta dei dati personali, le imprese e gli enti devono affidarsi alla figura del “Responsabile della protezione dei dati” (Data Protection Officer o DPO), che ha una conoscenza specialistica della normativa e della prassi in materia di protezione dati.
Pronti, partenza, via?
Nonostante anni di preparazione e dibattito nelle varie sedi europee e l’approvazione da parte del Parlamento europeo nell’aprile del 2016, il nuovo regolamento rischia di rimanere solo teorico, almeno all’inizio. Molte, moltissime aziende infatti sono state colte impreparate. Secondo la ricerca “Seizing the GDPR Advantage: From mandate to high-value opportunity” di Capgemini, ben l’85% delle aziende in Europa e negli Stati Uniti si è detto non pronto al GDPR. Inoltre, una società su quattro non sarà pienamente conforme al nuovo regolamento nemmeno entro la fine dell’anno. Il rischio per loro è quello di incappare in multe salate.