Lo sviluppo di internet e dell’utilizzo compulsivo dei social ha sollevato una questione molto rilevante: quella del rispetto della privacy degli utenti e dei loro dati. A maggior ragione di fronte al crescente problema del cyber crime.
Il Gdpr per la tutela della Privacy
Proprio per meglio fronteggiare questi aspetti, l’Unione europea ha deciso di dotarsi di nuove e più stringenti norme in materia attraverso il Gdpr, Regolamento Generale sulla Protezione dei Dati che, pubblicato sulla Gazzetta ufficiale Ue il 4 maggio 2016, entrerà in vigore dal 25 maggio 2018. Trattandosi appunto di un Regolamento (n. 2106/679) è direttamente esecutivo dai vari stati membri senza il bisogno di legislazioni applicative.
Il GDPR prevede che le imprese di dotino di una nuova figura nominata all’interno dell’azienda che si occupi della gestione dei dati: il DPO, appunto il Responsabile della protezione dei dati. Non per tutti è obbligatorio nominare un DPO, vedremo a chi spetta l’esonero ma prima cerchiamo di capire meglio cosa prevede il GDPR.
Il dispositivo armonizza i regolamenti attuali e introduce paletti e sanzioni più stringenti per quanto riguarda il trasferimento e l’utilizzo di dati personali delle persone fisiche sul web.
Il Gdpr, che prende il posto della vecchia direttiva Ue sulla privacy risalente al 1995, riguarda i dati dei cittadini residenti nell’Unione indipendentemente dal fatto che l’archiviazione fisica e l’elaborazione avvengano fuori dai confini europei. Delle particolari deroghe al trattamento dei dati, sono previste su basi nazionali per le forze di polizia e l’autorità giudiziaria e sono inserite in un’apposita Direttiva del 2016.
Nel dettaglio, le principali novità riguardano l’introduzione di norme più semplici per quanto riguarda l’informativa e il consenso al trattamento dei dati. Si pongono dei limiti al trattamento automatizzato dei dati personali e si istituiscono le fondamenta per nuovi diritti. Le norme riguardano anche le imprese extra Ue che però vendono i loro prodotti o servizi all’interno dell’Unione. La mancata osservanza della nuova normativa, come detto, comporterà l’irrogazione di sanzioni di entità variabile.
Dati personali e dati biometrici
Con il Gdpr si amplia la cerchia dei dati da proteggere rispetto a quella presente nell’attuale direttiva. Ai ‘Dati personali’, cioè quelli che riguardano le informazioni che possono consentire l’identificazione univoca e l’autenticazione di una persona fisica, si aggiungono i ‘Dati genetici’ ereditati o acquisiti, i ‘Dati biometrici’, come ad esempio l’immagine della faccia, grazie ai quali è possibile l’identificazione univoca della persona, i ‘Dati sulla salute’ sia fisica che mentale e sugli eventuali servizi di assistenza sanitaria.
Adempimenti per le imprese
Il Gdpr prevede tutta una serie di adempimenti per le imprese e, per aiutare i vari soggetti ad adeguarsi al nuovo impianto normativo uniformando le procedure. E’ prevista, da parte di ogni stato, l’istituzione di un’autorità indipendente a cui fanno riferimento tutte le attività e le imprese.
Queste autorità opereranno in coordinamento con le altre ‘sorelle’ europee. L’impresa che ha filiali in diversi paesi, avrà come Autorità di riferimento quella in cui ha la sede principale e questa fungerà da Sportello unico per l’impresa.
Tutte le diverse autorità verranno coordinate dal Comitato europeo della protezione dati. Molti Paesi (in Italia con il piano Industria 4.0) hanno destinato risorse destinate alle imprese per aiutarle ad adeguarsi al nuovo Regolamento europeo.
Come cambia il Trattamento dei Dati personali
Il trattamento dei dati è normato in modo tale che i diritti alla privacy dei cittadini devono poter essere gestiti in ogni fase del ciclo di trattamento dei dati sia che questo avvenga sul web sia che avvenga nei diversi sistemi informatici.
Si fa riferimento a Diritto alla cancellazione del dato personale, al Diritto all’oblio del dato personale sui motori di ricerca, il Diritto al blocco del trattamento del dato personale.
Il principio di responsabilità, o accountability, riguarda l’eventuale ‘esercizio di attività pericolosa’ per i diritti e le libertà del cittadino interessato. Altro importante diritto previsto è quello alla contestazione delle decisioni che vengono prese in maniera automatica sulla base di algoritmi.
Il Gdpr estende i requisiti previsti nelle informative sulla privacy con l’inclusione dei tempi di conservazione dei dati personali e i contatti di chi è chiamato ad occuparsi del loro controllo e protezione. Tra le disposizioni del nuovo Regolamento, c’è anche il monitoraggio sistematico del trattamento dei dati personali sensibili e ad alto rischio.
Molto importanza viene data al consenso alla raccolta e al trattamento dei dati. La normativa prevede che questo debba essere sempre esplicito e chiesto in maniera chiara. Stesso discorso vale per le finalità per le quali viene richiesto. In caso di minori di 16 anni, il consenso deve essere espresso dai genitori.
La Portabilità dei Dati
Un’altra novità presente nel Gdpr, c’è il Diritto alla portabilità dei dati personali da un titolare del trattamento ad un altro. Uniche due eccezioni si concretizzano se i dati sono contenuti in archivi di pubblico interesse o nel caso di trasferimento verso paesi o soggetti privi di determinati standard di sicurezza.
Le imprese che devono mettersi in regola con il Gdpr devono provvedere a specifiche certificazioni di conformità al Regolamento riconosciute dalle rispettive Autorità garanti.
Questo consentirà agli utenti di sapere che i propri dati sono trattati in maniera adeguata dal punto di vista della privacy.
GDPR e Data Breach
Nei casi in cui si verifichino violazioni o perdita dei dati degli utenti a seguiti di furti informatici o hackeraggio, le cosiddette ‘data breach’, entro tre giorni queste devono essere comunicate all’autorità garante.
Bisogna poi che l’impresa definisca con certezza se questa violazione possa rappresentare una minaccia per il cittadino o i cittadini interessati.
La mancata informazione può avvenire solo qualora il titolare ritenga che questa violazione non metta a rischio i diritti del cittadino interessato o dopo aver dimostrato che sono state adottate tutte le opportune misure di sicurezza.
Esonero della Nomina del DPO per il GDPR
In ogni caso, l’autorità può autonomamente rendere obbligatoria la comunicazione se ritiene che i rischi collegati alla violazione siano tali da giustificare tale provvedimento.
Per presidiare questo settore all’interno delle imprese, è stata prevista l’istituzione di una nuova figura: quella del Responsabile della protezione dei dati (Dpo) che deve verificare il rispetto delle norme del Regolamento.
I liberi professionisti che operano in maniera autonoma (avvocati, commercialisti, etc) così come le ditte individuali sono esonerati dal nominare il DPO.
Le Sanzioni previste dal GDPR
Le sanzioni previste dal GDPR in caso di violazioni possono variare dall’ammonizione scritta, all’istituzione di accertamenti periodici, fino a multe per un massimo di 10 milioni o fino al 4% del fatturato globale a seconda delle infrazioni commesse al Regolamento.
Per non incorrere in sanzioni, essendo invertito l’onere della prova, si deve dimostrare di aver fatto tutto il possibile per evitare di danneggiare l’utente attraverso un utilizzo improprio dei suoi dati.