gdpr come mettersi in regola

GDPR …COSA FARE PER METTERSI IN REGOLA?

GDPR: il nuovo regolamento per la privacy

Il GDPR (general data protection regulation) è un regolamento UE (precisamente n. 2016/679) entrato in vigore il 25 Maggio 2016 e divenuto operativo esattamente 2 anni dopo, il 25 maggio 2018; esso disciplina la protezione dei dati personali dei cittadini dell’Unione Europea.
Sebbene sia passato ormai 1 anno dalla sua entrata in vigore, molte aziende ancora non hanno del tutto chiaro quali aspetti considerare e come intervenire operativamente per mettersi in regola.

Il GDPR in pratica

Prima di tutto sfatiamo un mito: il GDPR, nonostante un pesante atteggiamento sanzionatorio che spaventerebbe chiunque, non ha nulla di castrante nei confronti delle strategie di marketing aziendale. Il suo (sottolineo) giusto obiettivo è la tutela della privacy dell’individuo. Quest’affermazione non è così scontata se pensiamo alla leggerezza con cui ognuno di noi oggi “regala” informazioni senza nessuna cognizione di causa.
Il GDPR nasce per restituire alle persone il controllo dei propri dati e dare la possibilità di scegliere se e come devono essere utilizzati.
Certo, per privare colossi del marketing della possibilità di profilare ed utilizzare a proprio piacimento qualunque dato rilasciato in un momento di leggerezza, non sarebbe stato sufficiente un atteggiamento di controllo ed ammonizione, ed ecco che allora il GDPR stabilisce per chi non si adegua, pesantissime sanzioni (fino a 20 milioni di euro o fino al 4% del volume di affari globale dell’anno precedente).

Ma facciamo un po’ di chiarezza!

Privacy: cosa si intende per dati personali?

  • Il GDPR disciplina esclusivamente il trattamento dei dati di persone fisiche (quindi non riguarda dati aziendali e societari, se si escludono quelli relativi alle ditte individuali, dove c’è una sovrapposizione tra l’identità personale e quella aziendale).
  • Secondo il GDPR i dati personali corrispondono alle informazioni (sia collegate alla vita privata, che pubblica o lavorativa) che permettono di identificare un individuo in modo più o meno diretto. Quindi rientrano sotto questo capitolo non solo nome e cognome, ma anche indirizzi email, fotografie, dettagli bancari e indirizzi IP. Sottolineo che non viene regolamentato dal GDPR il trattamento dei dati personali per fini legati alla vita personale o domestica.

GDPR: chi deve adeguarsi?

Il GDPR è rivolto alle realtà (anche con sede legale al di fuori dell’UE) che trattano dati personali dei cittadini europei dentro e fuori dai confini dell’unione europea

Anche quando i dati vengono trattati al di fuori dell’Unione Europea il trattamento deve avvenire in maniera conforme al GDPR: questo aspetto è molto importante e può generare una condizione di incertezza se si utilizzano infrastrutture informatiche o data center che non hanno sede in UE; la scelta dei fornitori complianti diventa quindi decisiva per la coerenza alla normativa.

gdpr come mettersi in regola

GDPR: cosa devono fare le aziende?

  • Il titolare del trattamento ha l’obbligo di spiegare con un linguaggio semplice e chiaro come vengono raccolti e trattati i dati personali e con che finalità
  • Il consenso al trattamento dei dati personali deve essere richiesto (e prestato) prima che avvenga qualunque tipo di elaborazione
  • I consensi devono essere registrati (e quindi tracciabili)
  • Il consenso deve essere revocabile in qualsiasi momento in modo semplice

Quali sono i diritti di chi rilascia il consenso?

  • Diritto di sapere se, come, dove e a che fine vengono elaborati i propri dati
  • Diritto all’accessibilità ed alla portabilità dei dati: chi presta il consenso ha il diritto di ricevere i propri dati in formato elettronico e di trasmetterli ad un altro titolare del trattamento
  • Diritto all’oblio: è il diritto alla cancellazione dei propri dati personali e comporta l’obbligo per il titolare del trattamento di trasmettere la richiesta di cancellazione e tutti quelli che utilizzano i dati personali in oggetto.

GDPR: cosa fare in pratica

  • Raccogliere il consenso al trattamento dei dati prima della loro elaborazione e conservarlo
  • Dare la possibilità agli utenti di modificare o revocare il consenso al trattamento dei propri dati in modo semplice e in qualsiasi momento
  • Adottare un registro del trattamento dei dati personali
    Essere in grado di dichiarare come vengono elaborati i dati e le terze parti (“responsabili del trattamento”) a cui vengono trasmessi
    Allinearsi al concetto di “Privacy by design” adottando dei requisiti minimi di sicurezza al fine di evitare la sottrazione , la perdita o l’utilizzo improprio dei dati
  • Comunicare al garante, e agli interessati in caso di rischio per i loro diritti, l’eventuale violazione dei dati personali in caso di data breach. Utilizzare un DPO (Data Protection Officer) in caso di trattamento di dati sensibili (ad esempio dati sanitari e/o giudiziari)
  • Raccogliere il consenso al trattamento dei dati prima della loro elaborazione e conservarlo
  • Dare la possibilità agli utenti di modificare o revocare il consenso al trattamento dei propri dati in modo semplice e in qualsiasi momento
  • Adottare un registro del trattamento dei dati personali
  • Essere in grado di dichiarare come vengono elaborati i dati e le terze parti (“responsabili del trattamento”) a cui vengono trasmessi
  • Allinearsi al concetto di “Privacy by design” adottando dei requisiti minimi di sicurezza al fine di evitare la sottrazione , la perdita o l’utilizzo improprio dei dati
  • Comunicare al garante, e agli interessati in caso di rischio per i loro diritti, l’eventuale violazione dei dati personali in caso di data breach
  • Utilizzare un DPO (Data Protection Officer) in caso di trattamento di dati sensibili (ad esempio dati sanitari e/o giudiziari)
Hanno scelto di lavorare con noi...

Copyright © 2018 Because di C. Calvetti, Torino | REA: TO - 1210261 | P.IVA: 11398460011 | C.F. CLVCHR77M45L219D
info@becauseweb.it | Privacy Policy | Cookie Policy