L´avvento del nuovo Gdpr rappresenta una svolta epocale per il mondo della privacy, soprattutto in virtù del ripensato approccio alla materia, che prevede il passaggio da un regime autorizzatorio a quello di responsabilizzazione dei diversi attori operanti sulla scena del trattamento e della protezione dei dati personali.

La data del 25 maggio 2018 ha segnato l´entrata in vigore del nuovo Regolamento UE 2016-679 ma non fuga dubbi interpretativi e di ordine pratico della nuova disciplina.

Quali sono gli adempimenti che le imprese e i professionisti devono mettere in campo per essere in regola riguardo il consenso esplicito ed informato degli utenti al trattamento dei dati sensibili, cosa scrivere sulla nuova informativa, che deve essere chiara e trasparente nonchè deve prevedere la possibilità di revocare il consenso, come fare reclamo alle autorità competenti, quali sono le sanzioni previste per chi viola le nuove norme sulla privacy 2018, questi, sono solo alcuni degli interrogativi più comuni.. vediamo di dare un rapido quandro..

Il GDPR è una legge Europea che stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei Dati personali, nonché norme relative alla circolazione di tali dati e si fonda su tre cardini fondamentali

1. Privacy by Default ovvero: ogni impresa è tenuta a tutelare la vita privata dei cittadini "di default" e cioè dev´essere una scelta di base, cosciente, predefinita e continuativa nel tempo che l´impresa deve trattare come valore fondante nel suo operare.

2. Privacy by Design ovvero: la protezione dei dati dei privati cittadini deve partire dalla progettazione di ogni processo aziendale, deve esser parte del disegno iniziale e non un "adeguamento" postumo.

3. Accountability, termine anglosassone che letteralmente significa "responsabilità": potrebbe esser tradotto con "rendicontazione", nell´accezione – affine alla responsabilità sociale - di dover "render conto a terzi delle scelte compiute". Nell´intenzione dei legislatori europei, l´accountability indica aspetti quali l´affidabilità, la capacità e la competenza aziendale nella gestione dei dati personali.

Nello specifico le principali novità che il GDPR ha apportato sono:

Il consenso, deve essere esplicito in modo da garantire la trasparenza nel trattamento dei dati sensibili.
Al fine di ottenere il consenso esplicito è possibile utilizzare una dichiarazione o un´azione esplicita inequivocabile mentre è vietata la selezione di opzioni preselezionate. Inoltre deve essere data all´utente, la possibilità di revocare il consenso in qualsiasi momento con la stessa semplicità e trasparenza con il quale è stato concesso.

Il diritto all´oblio. il diritto all´oblio è una novità contenuta nel nuovo regolamento GDPR e riguarda il diritto da parte di un utente di poter cancellare i propri dati personali, anche se sono stati dati online, in presenza di determinate situazioni previste dal Regolamento, ossia se i dati personali:
sono trattati solo sulla base del consenso;
non sono più necessari rispetto alle finalità con cui sono stati raccolti;
se i dati sono trattati illecitamente oppure, se l´interessato si oppone legittimamente al loro trattamento.

Al fianco del diritto all´oblio c´è anche un´altra novità introdotta dal GDPR e riguarda la conservazione dei dati e la durata del trattamento che deve essere conforme alla finalità per la quale è stato richiesto il consenso.

La portabilità dei dati: dal 25 maggio, è consentita la portabilità dei dati raccolti ciò significa che è possibile per i titolari del trattamento di trasferire i dati raccolti presso un altro titolare e si può cambiare provider di posta elettronica senza perdere i contatti in rubrica ed i messaggi salvati.

Le garanzie per i minori: il consenso esplicito all´utilizzo dei servizi Internet e dei social media da parte dei minori di 16 anni, dal 25 maggio, deve essere dato dal genitore o da chi esercita la patria potestà.

L´informativa in base a quanto previsto dal nuovo regolamento deve essere scritta in maniera:
concisa;
trasparente;
intelligibile;
facilmente accessibile;
con un linguaggio semplice facilmente comprensibili per i minori.
Deve essere resa per iscritto e preferibilmente in formato elettronico specialmente se in contesti di servizi online.
Va ricordato, però, che sono ammessi dal nuovo Regolamento anche "altri mezzi" anche elettronici, ad esempio via email.

Le sanzioni:
Sono state inesorabilmente inasprite, infatti, sono previste sanzioni fino a 10 milioni di euro o, per le imprese fino al 2% del fatturato mondiale totale annuo dell´esercizio precedente, se superiore;
Sanzioni fino a 20 milioni o, per le imprese fino al 4% del fatturato mondiale totale annuo dell´esercizio precedente, se superiore.

Ecco, dunque, secondo noi, una pratica sequenza di punti da considerare in un processo di autovalutazione:

CHECKLIST DI AUTOVALUTAZIONE

1. Identificare tutti i Trattamenti di dati personali esistenti in azienda.
2. Identificare Titolare e Responsabile del trattamento dei dati personali (per ogni trattamento definire Titolare e Responsabile).
3. Istituire il Registro dei Trattamenti contenente tutti i Trattamenti di dati dell´azienda (in realtà avremo un Registro del Responsabile dei trattamenti ed un Registro del Titolare, che insieme riportano tutte le informazioni necessarie sui diversi trattamenti).
4. Aggiornare Privacy Policy con una informativa completa, corretta, semplice e di facile consultazione.
5. Adeguare la raccolta dei consensi al trattamento per ogni singola raccolta dati personali esistente (intervenire su testo dell´informativa e meccanismi di raccolta del consenso).
6. Verificare per ogni trattamento e dato pre-esistente se il consenso al trattamento acquisito (se è stato acquisito) all´atto della registrazione dei dati è sufficiente, oppure se è necessario procedere nuovamente all´acquisizione del consenso rispetto al trattamento previsto.
7. Far valere i diritti dell´Interessato ovvero rendere disponibili adeguati servizi che garantiscano di ottenere: oblio, accesso/modifica, portabilità e limitazione del trattamento; tali funzioni dovranno essere accessibili in modo semplice, veloce ed intuitivo … almeno quanto lo è stato la fase di raccolta. Nel caso sia necessario, le risposte dovute agli Interessati dovranno essere concise, trasparenti ed utilizzare un linguaggio semplice e di facile comprensione.
8. Proteggere i Dati personali degli Interessati osservando le buone pratiche di qualità e sicurezza dei sistemi e delle procedure di trattamento dei Dati personali indipendentemente dalla loro forma (numerico/testuale/immagine/audio/video, logica/fisica) e dal supporto di memorizzazione (cartaceo, magnetico, elettronico, cloud…).
9. Compiere il Risk Assessment per ogni trattamento identificato al fine di rilevare il livello di rischio per lo stesso.
10. Eseguire tutte le azioni necessarie alla Mitigazione del rischio per tutti i trattamenti che hanno rivelato un livello di Rischio elevato (High Risk).
11. Progettare ed erogare un Piano formativo a tutti gli Stakeholder per assicurare una corretta conoscenza del Regolamento al fine di consentire a ciascuno di gestire e compiere le proprie attività lavorative in modo informato.
12. Predisporre il Piano di azione da attivare in caso di Data Breach ovvero quando si verificasse una violazione di dati personali.

Lo studio Legale Sateriano è a disposizione per consulenze e collaborazione in materia.