GDPR: cos’è e cosa cambia per le aziende

GDPR: pronti al nuovo regolamento sulla privacy?

Da Venerdì 25 Maggio 2018, in Italia ed in tutta Europa, entrerà in vigore il GDPR, il documento che contiene le linee guida sul rispetto della privacy ed il trattamento dei dati personali dei cittadini europei.

La normativa, infatti, è unica e sarà obbligatoria in tutti i paesi dell’Unione Europea: anche questa è una novità!

Cosa si intende per dati personali?

Sono quei dati che servono ad identificare una persona: tra questi ci sono il nome e il cognome, la data di nascita, la professione.
Ci sono altri dati dati personali identificativi che identificano direttamente la persona interessata come il numero di telefono, il codice fiscale o i dati sensibili che rivelano, invece, la razza, la religione professata, le opinioni politiche o l’adesione ad associazioni o sindacati.

Tutti questi dati dovranno essere trattati con maggior rigore rispetto a quanto previsto dalla normativa previgente.

Cosa significa GDPR e cosa è?

GDPR sta per General Data Protection Regulation, in italiano Regolamento Generale sulla Protezione dei Dati. E’ una normativa europea, un regolamento per l’esattezza, obbligatorio per tutte le organizzazioni che detengono dati personali di cittadini dell’Unione.

Il contenuto del GDPR o regolamento Ue 2016/679 non è del tutto nuovo: la norma, infatti, attua la direttiva europea 95/46 EC che dettava la disciplina in materia di protezione dei dati personali e che è stata modificata per tutti i cambiamenti che ha portato il digitale dal 1995 ad oggi.

Chi deve rispettare il GDPR

Il GDPR è obbligatorio per tutti coloro che trattano dati personali: società, persone e organizzazioni. Parliamo quindi di negozi, liberi professionisti, pubbliche amministrazioni, web agency, aziende, hotel.

Tutti coloro che oggi, per il lavoro che svolgono, si trovano a dover gestire dati dei propri clienti, come i numeri di telofono o gli indirizzi di abitazione o di posta elettronica, dovranno adeguarsi al nuovo regolamento sulla privacy.

Il GDPR vale per le organizzazioni che non hanno sede in Europa

Un’importante novità del GDPR è il principio dell’extraterritorialità, in base al quale tutte le società che sono in possesso di dati personali di cittadini dell’Unione Europa, devono rispettare il regolamento anche se non hanno sede in uno degli stati dell’Unione Europea.

Se, per esempio, il trattamento dei dati è fatto da una società che si trova in America, non conta il fatto che la società non sia in Europa, ma conta solo che la gestione abbia per oggetto informazioni personali di cittadini europei: in tal caso la società americana dovrà rispettare le norme del GDPR!

Il consenso al trattamento dei dati personali

Il regolamento prevede che il consenso al trattamento dei dati personali debba essere dato in forma esplicita: senza consenso del titolare, non si può fare nulla.

Una società o ente che intende utilizzare i dati personali di cui è in possesso, ma che non ha il preventivo consenso del titolare, commetterà un illecito qualora dovesse procedere all’utilizzo.

La richiesta di consenso dovrà essere fatta con modalità trasparenti e facilmente comprensibili: spariranno tutti i fogli da firmare, scritti in minuscolo, impossibili da leggere e da capire.

Portabilità dei dati: un’altra novità del nuovo regolamento

La portabilità è una novità perché è un diritto introdotto per la prima volta dal GDPR.

Per dare il controllo dei propri dati ai diretti interessati e per favorire la circolazione dei dati stessi, ogni persona può rivolgersi ad una società a cui aveva volontariamente fornito i propri dati personali per averli “in restituzione”. Potrà successivamente decidere di usarli per scopi personali oppure trasmetterli ad un’altra società, senza che la “prima” società possa opporsi in alcun modo.

La trasmissione dei dati dovrà avvenire in formato elettronico secondo una strategia della UE che mira alla creazione del mercato unico digitale evitando così fenomeni di lock -in.

Esempi di dati portabili sono i CV caricati in siti di annunci di lavoro o i dati forniti ai gestori telefonici.

GDPR e disposizioni sui cookie

Il GDPR dedica ai cookie una sola disposizione: l’art. 30 che si riferisce ai cookie di profilazione che sono in grado di identificare un individuo.

Ricordiamo che i cookie sono file di testo che vengono copiati sul nostro computer durante la navigazione in rete mentre stiamo visitando un sito web.

I cosidetti cookie di profilazione sono molto usati dalle aziende per scopi di marketing e per l’invio di messaggi pubblicitari personalizzati: questi cookie tracciano le nostre attività online e possono identificare l’utente. Per questo sono considerati lesivi della privacy.

Cosa prevede il GDPR per i cookie

Il nuovo regolamento impone ai titolari dei siti web di comunicare agli utenti le tipologie di cookie utilizzati attraverso il cookie banner, mettendo in evedenza se il sito utilizza i cookie di profilazione.

Fino ad oggi il banner avvisa gli utenti che la prosecuzione della navigazione sul sito equivale ad accettazione tacita  di tutte le condizioni in materia di cookie.
In effetti il messaggio che viene dato è poco chiaro: quanti utenti sanno cosa siano i cookie e quanti cliccano il banner per andare a leggersi l’informativa sui cookie?

Dal 25 Maggio non sarà più così. L’informativa sui cookie sarà anticipata con un messaggio più dettagliato che aiuterà l’utente ad essere più consapevole sull’uso dei cookie, così da prestare un consenso informato.

Al momento dell’apertura del banner cookie potrà dare o negare il consenso, cliccando su “accetta” o “rifiuta”, decidendo in modo più consapevole.

Altre disposizioni del GDPR

Diritto all’oblio: ogni persona potrà chiedere la cancellazione dei propri dati detenuti da una società, che dovrà procedere all’ eleminazione degli stessi, senza potersi opporre alla richiesta.

Diritto di accesso ai propri dati: per assicurare la massima trasparenza, ogni cittadino potrà chiedere ad una società di quali dati sia in possesso ed avrà diritto di chiedere una copia del documento, contenente l’elenco dei dati, che gli verrà rilasciata in formato elettronico.

Sanzioni: il GDPR prevede sanzioni molto elevate in caso di inosservanza e mancato adeguamento alle sue linee guida.
Le sanzioni massime arrivano fino a 20 milioni o al pagamento di una somma pari al 4% del fatturato annuale globale.

Ci sono molte altre disposizioni che regolamentano in modo dettagliato le modalità di conservazione e gestione dei dati all’interno dei propri archivi informatici e per le quali si rimanda al testo integrale del GDPR.

Per capire come procedere per adeguarsi alle nuove disposizioni, sarà opportuno rivolgersi ad un professionista di diritto, in modo da capire come agire nel caso concreto.