Nel mese di maggio 2016 è stato pubblicato nella GU dell’Unione Europea il Regolamento 2016/679 del Parlamento Europeo che riguarda il trattamento dei dati delle persone fisiche e la libera portabilità di tali dati.
Le imprese avranno tempo per adeguarsi alla normativi fino al 25 Maggio 2018.
E' una rivoluzione nel mondo della privacy che investirà soprattutto, ma non solo, le attività di marketing e di segmentazione e profilazione dei clienti.
I punti principali su cui gira la normativa sono: il diritto all’oblio, come accennato sopra la portabilità dei dati, l'accesso semplificato ai propri dati, le modalità di notifica delle violazioni agli interessati e alle autorità competenti. Le nuove norme vanno ad modificare il nostro codice della privacy che risale al lontano 2003 e sono state spinte certamente dal sempre più frequente uso di contenuti e contratti attraverso internet.
Saranno, infatti, proprio i dati gestiti tramite la rete ad essere più attenzionati dalla nuova normativa, in particolare per l'inquadramento delle attivitià di profilazione; le imprese che svolgono servizi attraverso la rete dovranno acquisire un consenso espresso sul trattamento dei dati prima di prestare servizi agli utenti.
Una novità è relativa alla legge di applicazione che non sarà più quella del soggetto che effettua il trattamento ma quella della persona di cui vengono raccolti i dati.
Chi opera su internet risponderà, quindi, secondo le leggi in cui risiedono le persone di cui vengono raccolti i dati. Il regolamento abolisce la figura del Titolare del Trattamento Dati che dal 2018 sarà il Responsabile della protezione dei dati (DPO).
Le imprese medie e piccole avranno delle semplificazioni e dei percorsi agevolati; ad esempio la nomina del responsabile della protezione dei dati e la valutazione dell'impatto saranno obbligatori solo se il rischio sulla tutela dei dati sia elevato.
Importanti le sanzioni che potranno arrivere fino a 20 milioni di euro, oppure fino al 4% del valore del fatturato.
Cosa dovranno fare le imprese per adeguarsi alla normativa?
Avviare con i propri consulenti legali e informatici una mappatura dei processi aziendali per individuare le aree di rischio, sottoporle ad analisi al fine di creare le idonee procedure per il rispetto della nuova normativa.
Vediamo alcuni obblighi:
Viene rafforzato il dovere di documentare (accountability) i processi del trattaemento dei dati a cura di tutti coloro che vi partecipano; la mancanza di documentazione può comportare l'irrogazione di sanzioni.
Anche il principio della trasparenza viene implementato: l'informativa sulla privacy dovrà essere leggibile, concisa, accessibile, scritta in linguaggio chiaro e senza troppi riferimenti normativi.
Il consenso al trattamento oltre che libero, specifico e informato dovrà essere espresso in modo inequivocabile.
Sarà necessario fare una valutazione dei rischi e si dovrà predisporre un piano per identificarli e gestirli in modo da renderli minimi, prevedendo anche azioni di monitoraggio.
Una semplificazione riguarda l'abolizione della notifica al Garante che un'impresa doveva fare avvisando che trattava dei dati con una specifica finalità (vedi art. 37 Dlgs del 2003), mentre ora sarà sufficiente redigere il documento di privacy impact assessment, per considerare effettuata la notifica.
Le aziende pubbliche e le imprese che svolgono attività che comportano un certo rischio nella raccolta e nel trattamento dei dati dovranno nominare il data protection officer (DPO) che sarà un incaricato di garantire la protezione dei dati e dovrà rispondere alla società che lo ha nominato e al garante pubblico.
Il Regolamento Europeo prevede che nel caso di violazione del trattamento dei dati sarà obbligatorio comunicare la fattispecie verificatasi entro 72 ore al Garante pubblico, informando anche le persone coinvolte nella violazione della privacy. Non rispettare la previsione della notifica espone le imprese a sanzioni penali
Come anticipato in apertura, il regolamento prevede il diritto alla portabilità dei dati e, inoltre, il diritto a essere dimenticato da chi ha raccolto i dati (cd diritto all'oblio).
Le imprese dovranno da subito verificare i propri standard di sicurezza e predisporre un piano di azione per trovarsi pronti all'appuntamento del 25 maggio del 2018.
Nessun commento:
Posta un commento