In questo articolo andremo a capire come le aziende devono adeguarsi al GDPR.
Manca ormai poco infatti al 25 maggio 2018, data nella quale il General Data Protection Regulation (GDPR) entrerà in vigore. Legge formalmente già approvata dall’Unione Europea.
Nell’articolo daremo una panoramica sulle attività in cui saranno coinvolte le aziende, vedremo infatti documenti e nuovi ruoli che le imprese dovranno affrontare, ma anche le opportunità che questa nuova regolamentazione introdurrà. Cercheremo di riassumere i tanti temi che sul web sono sempre più dibattuti.
Anche i tool usati dalle imprese, come vedremo nelle righe a seguire, devono adeguarsi alla normativa. Anche per questi motivi siamo felici di promuovere in particolare Kamzan (servizio di archiviazione in cloud), MailUp, in quanto utilizzatori del primo e recente Agency Partner per il secondo.
Tra i tool utilizzati e consigliati non potevamo non inserire Iubenda, lo strumento ideale per la generazione della privacy e cookie policy per il tuo sito internet. Cliccando sul link sopra avrai la possibilità di avere uno sconto del 10% mese/anno.
Open Data e Data Economy: una premessa per inquadrare il nuovo Regolamento Europeo in materia di Protezione dei Dati Personali.
Il nuovo GDPR marca una linea di confine nell’evoluzione storica della data protection. È uno spartiacque che segna un “prima” e un “dopo”, l’inizio di una nuova epoca nelle norme che tutelano il diritto a esercitare un controllo sulle informazioni che riguardano una persona fisica.
Il cambiamento essenziale è costituito dal “cambio di prospettiva” che si realizza grazie alle nuove norme. Finora al centro delle normative di data protection è stata posta la persona, intesa come persona fisica: titolare di diritti, depositario di interessi legittimi e di aspettative che l’ordinamento riconosce e tutela.
Con l’evoluzione tecnologica tutto cambia. I dati acquistano valore in sé e vengono tutelati per ciò che sono, a prescindere, si potrebbe dire, dalle persone cui si riferiscono. I dati infatti vengono ormai considerati un potenziale motore per lo sviluppo e una fonte di nuovi business ad altissimo valore. È questo il motivo per cui la Commissione Europea ha dato estrema importanza alla tematica della protezione dei dati personali inserendola nel più ampio contesto dei cosiddetti Open Data e della Data Economy.
Accountability: un nuovo concetto introdotto con la normativa
Tra le molte novità che il GDPR introduce un posto rilevante è riservato al nuovo concetto che la legge introduce. Parliamo dell’accountability:
“…attribuire delle responsabilità nel trattamento dei dati a tutti i soggetti che collaborano nella gestione delle informazioni, lungo tutta la filiera. Documentare tutte le azioni messe in atto quando vengono trattati i dati per conte dell’azienda o dell’organizzazione per la quale si lavora e relative contromisure”.
Inoltre dovranno essere analizzati ed individuati sistemi di di controllo e verifica che consentano, anche a posteriori, di verificare cosa è stato fatto dall’azienda che gestisce i dati degli utenti.
A confermare l’importanza dell’argomento, la legge si applicherà anche alle aziende extraeuropee, colossi tech USA (Facebook, Google, ecc.) inclusi ed imporrà di avere delle regole organizzative molto precise, ma anche procedure definite. Le possibilità che usiate i loro servizi sono altissime e molto probabilmente vi sarete già imbattuti in alcune delle loro comunicazioni.
Cosa prevede il nuovo GDPR e che cosa introduce
Andiamo ora ad elencare tutti i touch point che dal 25 maggio andranno modificati, cercando di fare un pò d’ordine e chiarezza per le imprese.
1. Nuova impostazione del consenso
La richiesta per il consenso diventa un elemento fondamentale nella relazione con il cliente, va manifestato in modo non equivoco e non sarà più da cristallizzare in una manifestazione di volontà, in quanto potrà essere parte di un elemento di processo. Per le aziende diventa una grossa opportunità di costruire vere relazioni con i clienti.
2. Database e profilazione
Crescendo l’importanza del dato, aumenta anche il valore dei database aziendali ormai da considerare veri e propri asset aziendali e da quantificare a livello monetario. Inoltre, un’ulteriore novità introdotta dalla norma europa è la distinzione tra automatismo e attività di analisi ma realizzate grazie all’intervento umano. La norma chiarisce che le attività di profilazione sono attività tecniche, ma sono considerati tali solo se realizzate con automatismo. Richiedono quindi un consenso specifico.
3. Informativa Privacy
Le nuove informative sulla privacy dovranno puntare su forme di comunicazioni chiare e semplici (anche visive) tramite una lettura progressiva.
4. Privacy Impact Assessment
Il Privacy Impact Assessment è uno dei documenti che dovranno essere prodotti dalle aziende: è il documento di valutazione d’impatto. Consiste nel realizzare una lista di possibili rischi e definire delle azioni per risolvere eventuali criticità. Il regolamento prevede una distinzione sulla documentazione da produrre determinata dalla grandezza dell’azienda.
5. Consenso granulare
Il consenso deve essere manifestato inequivocabile attraverso azioni positive. Ma cosa vuol dire in concreto? Dopo l’entrata in vigore del nuovo regolamento basterà che una persona, ricevendo l’informativa, continui nell’attività di fornitura dei dati senza interruzioni.
6. Stop alla notifica al Garante
Il nuovo GDPR abolisce l’obbligatorietà di notifica al garante sul fatto che un’azienda / organizzazione tratti dei dati personali e metta in atto azioni di profilazione. Sarà però necessario sviluppare il Registro dei Trattamenti (solo per grandi aziende) e il Privacy Impact Assessment.
7. Data Protection Officer
Il DPO (Data Protection Officer) è una nuova figura-chiave introdotta all’interno GDPR. Il suo compito è quello di redarre il documento di Privacy Impact Assessment, verificare il corretto trattamento dei dati e valutare i rischi su tutta la filiera. Anche in questo caso l’obbligo di nominare il DPO è previsto solo nei casi indicati dall’art. 37 del Regolamento 2016/679.
8. Privacy by design
L’adempimento a queste regolamentazioni introduce il concetto di “privacy by design” cioè il concetto che la privacy va concepita fin dall’inizio della raccolta del dati e dovrà essere una preoccupazione affrontata fin dall’inizio accanto alla realizzazione del business plan. Non come rimedio, quindi, ma come processo integrante ed unico.
9. Violazione dei dati
Viene introdotta l’obbligatorietà di notifica sulla violazione dei dati. Il data breach notification è l’obbligo di segnalare all’autorità eventuali violazioni di dati personali, da notificare entro 72 ore dal fatto e la notificazione alla persona a cui è stato “rubato” il dato. Punto che apre il tema reputazionale legato alle aziende e al trattamento dei dati.
10. I diritti all’oblio e alla portabilità
Con il GDPR le aziende si dovranno evolvere e non limitarsi alla cancellazione del dato, ma eliminare qualsiasi traccia del dato: diritto all’oblio del dato. Inoltre, come per le compagnie telefoniche, l’interessato avrà diritto alla portabilità del dato e cioè vedere trasferiti tutti i suoi dati presso un nuovo operatore.
Queste sono le prime novità introdotte dalla nuova legge ed una breve guida su come le aziende devono adeguarsi al nuovo regolamento. La tua azienda è aggiornata? Non esitare a chiederci maggiori informazioni al riguardo, saremo contenti di accompagnarti in questo percorso di aggiornamento e digitalizzazione della tua azienda.