
Che cosa il GDPR?
Il GDPR (General Data Protection Regulation) è il regolamento generale sulla protezione dei dati.
E' un provvedimento molto complesso e articolato, che avrà un impatto sulla vita quotidiana di tante realtà.
Il GDPR andrà a sostituire il regolamento 196 del 2003.
A cosa serve il GDPR?
Il Regolamento serve a rafforzare e a rendere più omogeno il trattamento e la protezione dei dati personali all'interno dei confini dell'Unione Europea. Lo scopo del Regolamento è l'aumento della privacy e la protezione dei dati per gli individui. E' dunque un regolamento focalizzato sui diritti delle persone.
Il Regolamento Europeo ha l'obiettivo di affrontare il tema della protezione dei dati personali nell'attuale società tecnologica, in cui la raccolta dei dati e la profilazione commerciale e comportamentale è diventata un vero e proprio business.
Cosa si intende per dati?
Una novità del Regolamento è l'ampliamento della definizione del dato personale del cittadino, che tiene in considerazione il mondo dei social network e la realtà tecnologica attuale.
Secondo la Commissione Europea "i dati personali sono qualunque informazione relativa a un individuo, inerenti sia la sua vita privata sia quella professionale o pubblica. I dati personali sono nomi, foto, indirizzi email, dati bancari, interventi su siti web di social network, dati di localizzazione, dati contenuti negli smartphone, informazioni sanitarie o indirizzi IP di computer".
Nel GDPR si pone l'attenzione su nuove tipologie di dati, come ad esempio i dati culturali, dati economici, l'identità sociale (ovvero come ci presentiamo in rete), dati genetici, dati biometrici, la profilazione sui dati sensibili, la pseudonimizzazione (ovvero il principio per cui le informazioni di profilazione devono essere conservate in una forma tale che ne impedisce l’identificazione dell’utente), l'uso del dato anonimo.
Anche da questa nuova visione del dato si capisce che l'obiettivo del GDPR è quello di adeguarsi al nuovo contesto economico e sociale, rendendo più sicuri i dati sensibili degli utenti.
Chi si deve adeguare al GDPR?
Le disposizioni devono essere rispettate sia dalle aziende con sede nell’Unione Europea sia da quelle che, pur avendo sede al di fuori della UE, elaborano dati e trattano dati personali di residenti nell'Unione Europea.
Questo perchè un'elevata percentuale dei dati degli europei vengono trattati dalle grandi società IT del nord America.
Grazie al GDPR le norme sulla protezione dei dati, che risalgono al 1995, verranno aggiornate e uniformate in tutta l'Unione Europea. Si vanno dunque a sostituire le normative dei vari paesi appartenenti all'Unione Europea, che sono le une differenti dalle altre.
Come ci si adegua alla GDPR?
Il Regolamento rappresenta il cambiamento più significativo negli ultimi ventidue anni per quanto riguarda la protezione dei dati personali (il GDPR modifica la normativa del 1995).
Come ogni grande cambiamento deve essere affrontato e gestito per tempo, onde evitare di arrivare a maggio 2018 impreparati - e rischiare così di essere oggetto delle elevate sanzioni previste-.
Il regolamento lascia ampi margini di azione a chi tratta i dati nello stabilire i propri livelli di sicurezza. Questo tuttavia può anche essere un'arma a doppio taglio. Da un lato, eliminare dei vincoli precisi, quali le misure minime di sicurezza e gli adempimenti specifici, può dare maggiore libertà; dall'altro lato il GDPR lascia le PMI, i liberi professionisti, le grandi aziende liberi di fare una valutazione dei rischi dei trattamenti e di scegliere le misure di sicurezze più adeguate - anche in base alle proprie risorse finanziarie-. Tuttavia, se l'azienda sbaglia tale assessment o se, per scelta, non provvede ad un livello di sicurezza adeguato, le sanzioni sono altissime.
Bisogna dunque stare attenti a non confondere la libertà che viene data dal GDPR con la possibilità di non rispettare il regolamento.
Il Regolamento Europeo porterà tanta burocrazia. Ci saranno registri da compilare, incarichi da documentare, attività da perfezionare e da registrare, contratti tra titolare e responsabile da formalizzare.
Questa burocratizzazione dovrà anche essere esposta perché testimonia che i vari adempimenti sono stati apportati. Dovrà essere resa pubblica sia in caso di controllo, di responsabilità e di richiesta cui i dati si riferiscono.
Il Regolamento sottolinea che non si tratta solo di una formalità ma deve servire a provare che, anche nella sostanza, gli adempimenti sono stati svolti (ad esempio la formazione del personale, l'aggiornamento sulla protezione dei dati, il privacy impact assessment, il registro dei trattamenti, la formalizzazione delle istruzioni dei contratti tra le parti nel trattamento dei dati, la revisione delle informative e dei moduli di consenso, l'adozione di procedimenti di pseudonimizzazione o anonimizzazione dei dati, la privacy by design - ossia il fatto che anche i processi aziendali, i software e le app siano impostate di default per proteggere la privacy -.
Quali sono i principali impatti e le principali novità del GDPR?
Il GDPR coinvolge l'azienda nella sua interezza, interessando persone, processi e tecnologie. Si dovrà attuare un processo di riorganizzazione della realtà aziendale. Il GDPR pone grande attenzione al sistema organizzativo, soprattutto a livello di rapporti tra il personale e i vari dipartimenti. Sarà necessario una forte integrazione tra i legali, le risorse umane, gli amministratori di sistema, l'IT, etc. Ovviamente questa riorganizzazione sarà molto complessa perchè dovrà conciliare tutti i vari dipartimenti. Sembra tuttavia un processo imprescindibile.
Il Regolamento sulla protezione dei dati comporta svariate novità. Vediamo le principali:
L'informativa e il consenso devono essere più chiari. Devono indicare il percorso del dato: come sarà trattato il dato, le modalità di conservazione, la circolazione, l'eliminazione.
Il consenso deve essere esplicito e deve essere esito di una manifestazione di volontà. Si dovranno dunque evitare i form pre-impostati dove il consenso è già fornito.
Una novità del GDPR riguarda il trattamento dei dati degli adolescenti, i cui dati hanno un enorme valore. Per i ragazzi sotto i 16 anni (poi ogni Stato potrà valutare il limite dell'età) viene richiesto il consenso dei genitori o di chi esercità la patria potestà.
Ci sono sanzioni per chi non si adegua alla GDPR?
Le violazioni del GDPR comportano pene severe, con multe fino a 20 milioni di euro o del quattro per cento del fatturato globale, se superiore.
Queste sanzioni vogliono anche essere delle dimostrazioni al fine di far capire che la violazione della protezione dei dati coinvolge in toto la società. Ad esempio, nel caso di una multinazionale, anche se la violazione avviene in un singolo paese, l'intera società sarà oggetto della sanzione.
Le sanzioni sono perciò commisurate alla potenza economica della società.
Il titolare del trattamento dei dati avrà l'obbligo legale di rendere note le fughe di dati all'autorità nazionale e di comunicarle entro 72 ore da quando ne è venuto a conoscenza. In alcune situazioni le persone di cui sono stati sottratti i dati dovranno essere avvertite.
Quando entra in vigore il GDPR?
Il GDPR inizierà ad avere efficacia in tutti i paesi dell'Unione Europea a partire dal 25 maggio 2018.
il Regolamento è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed è entrato in vigore Il 24 maggio 2016, ma diverrà pienamente applicabile da maggio dell'anno prossimo.
Il GDPR andrà dunque a sostituire la direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/EC).