GDPR: che cos’è, a chi è rivolto e che cosa bisogna fare?

GDPR Specialist / Digital Law Consultant

GDPR: che cos’è, a chi è rivolto e che cosa bisogna fare?

E’ uno dei temi più “caldi” del momento, se ne parla spesso, ma puoi davvero dire di sapere bene che cosa si nasconde dietro la sigla GDPR? Che cosa significa e quali sono le mosse da fare per mettersi in regola? Vediamo di fare luce sui punti più importanti di questa novità normativa – con qualche suggerimento pratico per mettersi in regola, a poco più di sei mesi dalla sua applicazione.

 

Che cos’è il GDPR?

Il GDPR (acronimo per “General Data Protection Regulation”, Regolamento UE 2016/679) si riferisce al regolamento europeo che si applica a partire dal 28 maggio 2018, il cui scopo dichiarato è quello di fornire ad ogni persona fisica nell’Unione Europea un’adeguata tutela dei loro dati di carattere personale.

Questo regolamento in sostanza offre alle persone i cui dati sono trasferiti a società, organizzazioni, aziende, apparati pubblici, la possibilità di essere realmente consapevoli di ciò che viene effettuato con quei dati, di poterne avere pieno controllo e di essere informati se dovessero essere trasferiti ad altri soggetti.

Per garantire una protezione unica e uniforme su tutto il suo territorio, l’Unione Europea ha ritenuto opportuno utilizzare un atto avente valore legislativo molto penetrante: il GDPR, infatti, è direttamente applicabile in tutti gli Stati membri ed è obbligatorio in tutte le sue parti – proprio come se fosse una legge nazionale.

Questo intervento è stato reso necessario perché i dati sono ormai diventati essenziali per lo sviluppo delle aziende. Il loro utilizzo sempre maggiore ha portato inevitabili cambiamenti tanto sul piano economico quanto sulla sensibilità sociale su questo tema.

Il contenuto del regolamento tocca diversi aspetti, introducendo definizioni, regole e procedure in grado di sostenere questo ambizioso progetto. Esistono molte convinzioni sbagliate riguardo al GDPR e l’errore più comune è quello di presumere che non si applichi ad un singolo caso specifico. Di conseguenza, il primo passo fondamentale è quello di rivedere gli elementi essenziali del regolamento.

 

Chi si deve adeguare al GDPR?

La definizione di “dato personale” contenuta nel GDPR è di una qualsiasi informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente, in base a quell’informazione.
Quella che all’inizio può sembrare una novità che si rivolge soltanto alle grandi aziende o ai veri propri imperi aziendali, in realtà non si rivela come tale. Semplicemente più si sfruttano i dati per la propria attività, più precauzioni dovranno essere adottate da chi li tratta. Il cambiamento introdotto da questo regolamento, infatti, è innanzitutto economico-culturale e si riferisce in sostanza a non rendere più ammissibile l’acquisizione indiscriminata dei dati che vengono utilizzati per qualsiasi motivo o analisi, per un tempo indeterminato e con il diretto interessato all’oscuro di tutto ciò.

Per questo motivo, occorre la partecipazione di tutti i destinatari e responsabili del trattamento dei dati di natura personale – chiaramente in misura adeguata a seconda dei casi specifici.

 

Che cosa bisogna fare?

  • Tre consigli base validi per la maggior parte dei casi

    1) Modificare la cookie e privacy policy del proprio sito internet: occorre che le nuove informative abbiano una struttura semplice e utilizzino un linguaggio comune e facilmente comprensibile da qualsiasi visitatore. Se non si può pretendere che concetti complessi si possano chiarire con poche e semplici parole, si può sviluppare la struttura dell’informativa su più livelli, con collegamenti a pagine interne al sito o anche con overlay che offrano descrizioni sempre più dettagliate e complete.

    2) Modificare le modalità della raccolta del consenso al trattamento dei dati: il cliente, l’utente o il visitatore del sito o del blog, a cui chiediamo di poterci fornire i suoi dati per meglio sviluppare la nostra attività, deve potersi trovare nella posizione di autorizzarne consapevolmente il trattamento.
    Non sarà quindi più valido un consenso ottenuto di nascosto o dato in via indiretta (ad esempio: con il pagamento del carrello si accetta implicitamente il trattamento dei dati personali da parte di un e-commerce).

    3) Informare i titolari dei dati raccolti in base alla vecchia normativa dei loro nuovi diritti: se siamo in possesso di dati personali già ottenuti prima dell’arrivo del GDPR, dovremmo preoccuparci di informare quanto prima quelle persone che quei dati saranno usati per specifiche finalità, proporre loro di rinnovare o anche ritirare il consenso al trattamento dei dati e, in caso di rinnovo, chiarire i limiti temporali di utilizzo degli stessi. In base al GDPR, infatti, i dati personali che raccogliamo dovranno avere una specie di “data di scadenza”.
    Se utilizziamo servizi di newsletter a fini di marketing come Mailchimp o abbiamo inserito nel nostro sito plugin social come Facebook, Twitter o Pinterest, dovremmo informare i diretti interessati che i loro dati sono trasferiti a paesi al di fuori dell’Unione Europea e offrire garanzie su questo trasferimento (ad esempio rassicurando che la Commissione Europea ha ritenuto adeguato il livello di protezione dati del paese X esterno all’Unione Europea).

     

  • Misure ulteriori per realtà più complesse

    Per aziende più strutturate e professionisti che fanno utilizzo costante e continuativo dei dati personali per lo sviluppo si suggeriscono anche, a titolo non esaustivo, le seguenti indicazioni:

    1) Classificazione dei dati attualmente in possesso: analizzare quali dati personali sono presenti nel database, definizione delle modalità e delle finalità specifiche di raccolta degli stessi.

    2) Creazione di un “registro dei trattamenti”: i dati così classificati vengono introdotti in un registro nel quale si tiene traccia delle finalità individuate, delle persone o dei team interni all’azienda che ne hanno accesso, della loro “data di scadenza” e del periodo che la precede in cui si può chiedere alla persona fisica di rinnovare il consenso.

    3) Valutazione complessiva della panoramica ottenuta: verificare se l’utilizzo dei dati personali raccolti nel database comporta dei rischi. Per aumentare la sensibilizzazione sul punto, ultimamente si fa ricorso alle elevate sanzioni. Occorre però mettere in chiaro che le cifre riportate (per il soggetto singolo che opera in autonomia: 20 milioni di euro; per le imprese che sono parte di un gruppo: 4% del fatturato mondiale annuo del gruppo) si riferiscono al tetto massimo, per cui in linea di principio nulla vieta una definizione di una somma o percentuale inferiore a quelle riportate.

Se il core-business della tua impresa è lo sfruttamento di dati personali o se la tua attività ne prevede comunque un altissimo impiego, il GDPR richiede la nomina di un Data Protection Officer (DPO) che si occupi specificatamente della trattazione di questa materia, per sensibilizzare e formare il personale e che possa agire in sinergia con i membri del team di marketing e di user experience per trovare soluzioni adeguate e al contempo pienamente rispettose del regolamento.

Tags: ,

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *