Il Regolamento Generale sulla Protezione dei Dati (GDPR) entrerà in vigore il 25 maggio 2018 in tutti gli Stati membri dell’Unione Europea.
Il GDPR, regolamento europeo n. 2016/679, ridisegna il concetto di privacy introducendo norme specifiche su modalità di trattamento dei dati, diritti dei soggetti interessati, chi è responsabile dei dati, modalità di comunicazione di eventuali violazioni subite, sanzioni per l’infrazione del regolamento.
Per essere conformi al GDPR le aziende devono rivedere le proprie policy e, se necessario, adeguarle alle richieste del regolamento.
Il Gdpr si applica a persone, società e organizzazioni che raccolgono e gestiscono qualsiasi tipo di dato personale in Europa.
Alla nozione di dato personale (cioè qualsiasi informazione riguardante una persona fisica identificata o identificabile) il Gdpr aggiunge quelli di dato genetico, biometrico e relativo alla salute.
Di seguito i principali adempimenti per adeguarsi al nuovo regolamento:
- Il consenso alla raccolta e al trattamento dei dati da parte degli utenti deve essere fornito in forma chiara, con un atto inequivocabile. Sì a una casella da spuntare, no a caselle precompilate, silenzio assenso o altri meccanismi che potrebbero creare equivoci.
- L’autorizzazione deve essere ben dettagliata, cioè richiesta per ogni elaborazione che su quelle informazioni sarà effettuata.
- Le aziende devono garantire agli utenti il diritto di sapere se i loro dati vengono elaborati e/o inviati, dove e a quale scopo. Inoltre, se richiesti, devono fornire i dati personali al soggetto interessato, in modo gratuito e in formato elettronico.
- Alle aziende è richiesto di mettere in atto tecniche che garantiscono e tutelano la privacy dei soggetti interessati. Tra queste ci sono la cifratura dei dati, in modo che possano essere letti solo da chi è autorizzato, e la pseudonimizzazione, che consiste nel sostituire campi identificativi in un set di dati con uno o più identificatori artificiali.
- Gli enti pubblici e le aziende le cui principali attività implicano “un monitoraggio regolare e sistematico di dati su larga scala” dovranno nominare un Data Protection Officer, (DPO), una figura distinta dal titolare che avrà il compito di garantire la conformità dell’azienda al GDPR.
- Le aziende hanno l’obbligo di notificare alle autorità competenti e ai soggetti interessati le violazioni di dati che possono mettere a rischio “i diritti e le libertà degli individui”. La notifica deve avvenire entro 72 ore dalla presa d’atto della violazione.
- Gli utenti hanno diritto alla cancellazione dei propri dati personali. Il diritto si applica quando l’utente non vuole mantenere il consenso al trattamento dei suoi dati e non ci sono ragioni legittime per conservarli.
Il GDPR introduce multe economiche per le aziende che non rispettano il regolamento, che possono ammontare fino al 4 per cento del fatturato annuale globale o a 20 milioni di euro.