Il 25 maggio 2018 entra in vigore il GDPR (General Data Protection Regulation), il Regolamento Generale sulla Protezione dei Dati.
Il GDPR è un provvedimento di ispirazione europea che tra i principali effetti ha quello di condurre le aziende e le organizzazioni a rivedere i propri processi interni, ponendo la privacy degli utenti come elemento prioritario di gestione e di tutela.
In particolare, alle aziende sarà richiesto di processare solamente i dati veramente indispensabili allo svolgimento dei propri obblighi professionali, con la conseguenza ulteriore che l’accesso ai dati sarà limitato esclusivamente a coloro che devono svolgere l’effettiva elaborazione.
Anche al fine di ridurre il campo da dubbi e interrogativi, cerchiamo di riepilogare cosa cambia e come arrivare preparati.
Come cambia la privacy
Il primo tassello che occorre fissare è legato al principio della Privacy By Design, ovvero della necessità di garantire la protezione dei dati fin dalla fase di progettazione del sistema, adottando così dei comportamenti che possano permettere di prevenire possibili problematiche.
Tra i principali obblighi che l’ispirazione della Privacy By Design può comportare, vi è ad esempio
- la necessità di effettuare una specifica valutazione di impatto prima di procedere a un trattamento di dati che potrebbe determinare pericoli elevati per i diritti delle persone (consultando l’authority di protezione dei dati in caso di dubbi),
- l’introduzione della figura del Responsabile della protezione dei dati.
Il GDPR favorisce e incoraggia inoltre il ricorso a codici di condotta, da sottoporre all’approvazione dell’Autorità nazionale di protezione dei dati ed eventualmente della Commissione europea, al fine di disciplinare il comportamento in seno agli iscritti ad associazioni di categoria e altri soggetti.
Certificazione del trattamento
Tra le altre novità contenute nel provvedimento vi è poi la possibilità, riconosciuta al titolare, di poter far certificare i propri trattamenti in modo parziale o totale. La certificazione potrà essere rilasciata dall’Autorità di protezione dei dati o da soggetto abilitato.
Proprio la certificazione del trattamento è uno degli elementi di cui l’Authority potrà tenere conto nell’applicazione di sanzioni o di altri provvedimenti, con la conseguenza ulteriore che diverrà prioritario determinare quali persone all’interno dell’organizzazione trattano i dati personali, e definendo così delle regole specifiche sul trattamento dati di alcune categorie di soggetti come i dipendenti, le persone verso cui sono indirizzate attività di marketing, i richiedenti impiego, e così via.
Il criterio della proporzionalità
Un altro dei principi ispiratori del nuovo GDPR è legato al Criterio della Proporzionalità alla Tipologia di Trattamento.
In altri termini, le aziende che hanno come oggetto della propria attività caratteristica principale la realizzazione di produzioni per conto terzi potranno subire dei minori impatti a livello di trattamento dei dati personali rispetto invece a quelle aziende che hanno nella propria attività caratteristica il commercio nei confronti dei consumatori finali, o ancora quelle aziende che effettuano delle attività di marketing, o ancora quelle che trattano dati come quelli sanitari.
Obbligo di notifica
Nel caso di eventuali violazioni dei dati personali, il titolare del trattamento dovrà notificare l’accaduto sia all’Autorità competente, sia all’interessato, nel caso in cui la violazione possa essere in grado di comportare un rischio per diritti e libertà.
Tra le altre innovazioni introdotte dal GDPR anche quello, concreto, legato all’esercizio del Diritto alla Portabilità dei Propri Dati Personali.
In altri termini, tutte le persone che hanno subito un trattamento dati da un terzo, potranno domandare di trasferire tali dati ad un nuovo soggetto: si pensi al cliente di un servizio di fornitura di utenza elettrica, che potrà domandare di trasferire i dati trattati al nuovo fornitore.