In queste ore ognuno di noi sta ricevendo decine di mail da tutte le newsletter e i servizi online a cui siamo iscritti, magari anche dalla propria mail aziendale, con oggetto: “GDPR, e 25 maggio” per avvisare di alcuni cambiamenti riguardo la privacy e il controllo dei dati personali.
Di cosa si tratta?
Del Regolamento Ue 679 del 2016, noto come GDPR che è l’acronimo di General Data Protection Regulation (in italiano Regolamento Generale sulla Protezione dei Dati) è il Regolamento Europeo che va a sostituire l’attuale Direttiva 95/46/EC sulla Protezione dei Dati, risalente al 1995. Vi ricordate lo scandalo di Cambridge Analytica, quando Mark Zuckerberg, fondatore di Facebook, fu chiamato a rispondere alle domande dei parlamentari europei preoccupati per il trattamento dei dati personali? Le nuove norme del Regolamento (GDPR) nate nel 2016, ma operative da oggi 25 maggio 2018 apportano importanti novità in tema di privacy e nuovi obblighi per enti pubblici, privati, imprese e professionisti. Si tratta di uno strumento prezioso relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Cosa cambia?
In considerazione dei diversi cambiamenti che si sono verificati negli ultimi decenni, come la proliferazione delle banche dati, l’esplosione del fenomeno social media, la nascita delle app. dgli smartphone, la commistione delle vite reali con quelle on-line, sotto diversi aspetti non si garantiva una tutela efficace alla privacy, diritto fondamentale di ogni persona. Cambiamenti che, dunque, hanno reso necessario un adeguamento della normativa di tutela e protezione della privacy – richiesto anche da più parti, che possiamo, in estrema sintesi riassumere così:
- un’informativa privacy (gli utenti devono essere informati con un linguaggio semplice e chiaro sulle finalità, modalità e ambito del trattamento dei propri dati).
- il consenso al trattamento dei dati deve essere libero, informato ed esplicito, poiché non sarà più ammesso in alcun modo il consenso tacito o presunto.
- il diritto di rettifica (obbligatoria la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo)
- il diritto all’oblio (gli utenti possono chiedere di rimuovere informazioni a proprio riguardo per sempre)
- la portabilità dei dati (si possono cioè scaricare e trasferire dati da una piattaforma all’altra, senza vincolarsi a un certo account)
- data breach (le aziende hanno l’obbligo di notifica in caso subiscono fughe di informazioni sensibili, devono comunicarlo al garante e agli utenti di cui hanno i dati, entro 72 ore).
- e la figura del DPO (Data Protection Officer) cioè il responsabile della protezione dati, si tratta di un professionista chiamato a sorvegliare una corretta gestione dei dati personali. Può essere interno o esterno alla società, ma in entrambi i casi deve garantire l’assenza di conflitti di interessi con il suo ruolo.
E’ però innegabile sottolineare come imprese e professionisti siano ancora oggi impreparati all’avvio della nuova normativa sulla privacy e la mancanza di un decreto di adeguamento è una delle cause. Ma basti considerare il 25 maggio 2018 come punto di partenza e non di arrivo per il nuovo Regolamento Europeo 679/2016 composto da 99 articoli tutti volti a dare maggiore controllo ai cittadini dei loro dati personali, e chiarire le responsabilità in caso di violazioni della privacy. Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e in caso di inosservanza delle regole rischiando pesanti sanzioni fino al 4% del fatturato annuo o 20 milioni di euro.
