GDPR – il nuovo regolamento sulla privacy

Cosa intendiamo per dati personali?

Le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..

Alcuni esempi particolarmente importanti:

• i dati identificativi: quelli che permettono l’identificazione diretta, come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc.;
• i dati sensibili: quelli che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale;
• i dati giudiziari: quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato.
• altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.

Chi utilizza i dati personali dell’interessato (utente)?

Il titolare dei dati personali – la persona fisica, l’impresa, l’ente pubblico o privato, l’associazione, ecc., cui spettano le decisioni sugli scopi e sulle modalità del trattamento, oltre che sugli strumenti utilizzati;

Il responsabile dei dati personali – la persona fisica, la società, l’ente pubblico o privato, l’associazione o l’organismo cui il titolare affida, anche all’esterno della sua struttura organizzativa, specifici e definiti compiti di gestione e controllo del trattamento dei dati. La designazione del responsabile è facoltativa;

L’incaricato – la persona fisica che, per conto del titolare, elabora o utilizza materialmente i dati personali sulla base delle istruzioni ricevute dal titolare e/o dal responsabile.

Di cosa tratta il nuovo regolamento sulla privacy?

È un regolamento dell’Unione Europea che intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell’Unione Europea, sia all’interno che all’esterno dei confini UE ed è rivolto a tutte le aziende:

• con sede legale in uno dei Paesi membri dell’Unione Europea,
• con sede legale al di fuori dell’Unione Europea, ma che elaborano dati relativi a cittadini di uno Stato membro.

Cioè, il regolamento sarà applicato a prescindere dal luogo o dai luoghi ove sono posizionati i server e le banche dati.

Perché il nuovo regolamento sulla privacy?

Le leve motivazionali all’aggiornamento e alla corretta implementazione delle regole contenute nel nuovo GDPR sono principalmente due:

• un’ammonizione scritta in caso di una prima mancata osservanza non intenzionale e la necessità di costruire un rapporto di fiducia con l’utente, che sarà molto più consapevole dei propri diritti in tema di riservatezza dei propri dati;
• la sanzione: essa può arrivare fino a 20 milioni di euro o fino al 4% del volume d’affari globale registrato dall’azienda nell’anno precedente.

Il secondo punto fa tremare le gambe a molti: si parla di soldi, dinamica molto più percepibile rispetto a tutto quello che è il punto 1 (strategia e asset).

È una rivoluzione rispetto alla regola precedente in base alla quale la normativa applicabile è quella del luogo in cui ha sede il Titolare del trattamento. Social network, piattaforme web e motori di ricerca saranno soggette alla normativa europea anche se gestite da società con sede fuori dall’Unione Europea.

Cosa fare?

Il nuovo regolamento sulla privacy rappresenta un’occasione per tutte le Aziende, sotto vari punti di vista. Sinteticamente, possono considerarsi influenzati dal cambiamento i seguenti aspetti:

• sistemi di gestione dei dati all’interno dell’organizzazione al fine di prevenire la perdita o la loro condivisione;
• ridefinizione delle policy interne;
• definizione di nuove regole di acquisizione e documentazione del consenso;
• impostazione e/o aggiornamento di tutti gli strumenti di comunicazione;
• introduzione di un Data Protection Officer in azienda.

Tale regolamento inizierà ad avere efficacia il 25 maggio 2018. Quindi, il trattamento e la gestione dei dati degli utenti saranno definitivamente disciplinati dal nuovo regolamento sulla privacy dell’Unione Europea n. 679 del 2016, altrimenti conosciuto come GDPR (General Data Protection Regulation, cioè Regolamento Generale sulla protezione dei dati).

Conclusione

Saranno quindi sette mesi di fuoco, quelli che rimangono alle aziende per adeguarsi alla nuova privacy europea anche perché, trattandosi di un regolamento dell’Ue, le nuove misure saranno direttamente applicabili dal 25 maggio 2018 senza alcuna necessità di recepimento, o altro atto formale, e soprattutto senza previsione di alcun rinvio dell’ultimo minuto.