Il 25 maggio 2018 si avvicina ed una piccola rivoluzione è pronta ad aprirsi per tutte quelle aziende, startup o agenzie che utilizzano dati degli utenti nello svolgere la loro professione. Proprio in questa giornata infatti entrerà in vigore il GDPR – letteralmente: General Data Protection Regulation – l’insieme di norme che andrà a ridefinire le regole in merito alla protezione dei dati personali in tutti gli stati dell’Unione Europea. Già questa è una delle grandi novità: il regolamento ha l’obiettivo ambizioso di superare le contingenze delle varie legislazioni nazionali, andando a creare un mercato digitale europeo uniforme.

Il GDPR prevarrà sulle leggi nazionali interne, ma la sola esistenza non comporterà l’abrogazione automatica di tutte le leggi statali in materia: semplicemente, tutte quelle disposizioni in contrasto con le normative europee dovranno essere disapplicate. Attualmente il nostro Codice della Privacy (D. Lgs n. 196/2003) che raccoglie in un testo unico la maggior parte delle disposizioni inerenti la privacy e il trattamento dei dati, è in fase di integrale revisione.

Le novità introdotte dal GDPR

Diamo quindi un’occhiata a tutte le novità a cui le aziende dovranno prestare attenzione:

#1 Tra gli altri importanti principi introdotti (privacy by design e privacy by default), merita una segnalazione quello di accountability: l’attribuzione di responsabilità a tutti i soggetti che a qualsiasi titolo effettuano il trattamento dei dati.

Le imprese dovranno predisporre regole organizzative, procedure definite e forme di controllo e verifica anche a posteriori dei dati in proprio possesso spiegando, tramite sistema documentale, come sono stati raccolti, dove e quando. Le sanzioni per chi non si adegua saranno pesanti (la legge parla di multe fino al 4% del fatturato mondiale annuo con un tetto fino a 20 milioni di euro, nonché sanzioni penali per le violazioni più gravi).

#2 L’informativa dovrà essere semplificata: addio ai termini burocratici per i testi che vengono forniti all’interessato nel momento in cui vengono raccolti i suoi dati.  Dovranno essere semplici, sia a livello linguistico che concettuale. L’obiettivo è quello di combattere la pratica del facile consenso dato senza peso dagli utenti e così aumentare la reale consapevolezza di quanto si sta facendo.

#3 Il regolamento individua la nuova figura del Responsabile della Protezione dei Dati, il Data Protection Officer (DPO), a cui – nei casi previsti come obbligatori e, naturalmente, in quelli giudicati comunque opportuni dall’impresa – spetterà tra gli altri compiti l’incarico di monitorare il trattamento dei dati e essere il referente per il Garante della privacy, nel caso l’autorità voglia acquisire informazioni o contestare determinate attività di trattamento.

#4 Nei casi più delicati di trattamento, il titolare – ad esempio la s.r.l. – è tenuto a predisporre il Privacy Impact Assessment (Documento di valutazione d’impatto nel trattamento dei dati): una vera e propria analisi dei rischi sui dati raccolti dall’azienda. 

#5 Il GDPR introduce severe norme che regolano la violazione dei dati personali. Nei casi di distruzione, perdita, modifica, rivelazione non autorizzata o accesso ai dati personali rilasciati dagli utenti, l’azienda dovrà segnalarle entro 72 ore la violazione sia  all’Autorità Garante e, nei casi più gravi, ai diretti interessati.

#6 Gli utenti guadagnano nuovi diritti: ad esempio, quello della portabilità dei dati da un’azienda a un’altra. Si potrà quindi richiedere di trasferire i propri data da un’azienda a un’altra, così come avviene oggi per il cambio di compagnia telefonica.

#7 Anche i social network dovranno impegnarsi per garantire i tre aspetti fondamentali di trasparenza, controllo e affidabilità delle procedure di privacy. Questo varrà soprattutto per le audience e i target group di sponsorizzazione e nella raccolta e misurazione dei dati statistici a tutela della tua azienda e delle tue inserzioni pubblicitarie.

Come sono messe le aziende italiane? 

Una ricerca effettuata dall’Osservatorio Information Security and Privacy del Politecnico di Milano ha svelato come solo il 50% delle aziende italiane ha elaborato un piano di conformità al GDPR. Un dato preoccupante è anche la percentuale di organizzazioni senza un budget dedicato per adeguarsi alla normativa: il 19% non ha ancora programmato il passaggio al GDPR e il 23% dichiara che non riuscirà a rispettare le scadenze per mettersi a norma. 

E la tua azienda ha già elaborato un piano di conformità?

Per gestire al meglio questo delicato passaggio normativo abbiamo stipulato una convenzione con lo Studio Privacy Paci di Rimini, specializzato dal 1998 nella tutela e trattamento dei dati personali. Se sei nostro cliente potrai usufruire di condizioni di favore: contatta il numero 0541.1795431 o scrivi una mail a info@consulenzepaci.it