GDPR: una sigla con cui dovremo prendere confidenza. Si tratta, infatti, di un acronimo che sta a indicare “General Data Protection Regulation 2016/679”, normativa che diventerà definitivamente applicabile in tutti gli Stati dell’Unione europea, start up comprese.
Il Regolamento Privacy europeo GDPR sarà in vigore a breve, dal 25 maggio 2018: vediamo innanzitutto in cosa consiste e perché è nato. In poche parole, il GDPR riguarda alcune funzioni principali, come:
- esplicitare il consenso nei moduli di contatto a tutti i servizi a cui l’utente presta il consenso all’utilizzo dei suoi dati. Per esempio: se con l’invio di una richiesta informazioni viene inserito nella newsletter, va detto e va inserita una spunta dedicata;
- il banner per il blocco dei cookie, che viene mantenuto, ma che dovrà essere presente sui siti web di tutte le aziende, agenzie, imprese e organizzazioni;
- la privacy cookie policy rimane invariata: nessun cambiamento;
- il titolare del trattamento dovrà dare prova di avere il consenso per utilizzare i dati dei clienti.
A garantire tutto questo, viene nominata una figura particolare: il Data Protection Officer, una persona fisica che costituisce il punto di contatto per la gestione delle problematiche legate alla data protection, all’interno di un’azienda, di un’agenzia o in un’organizzazione.
Cosa comporta il nuovo Regolamento Privacy europeo GDPR?
Il Regolamento Privacy europeo GDPR non è un nemico che parla burocratese, ma un insieme di regole unitarie, amiche delle diverse tipologie di business, per incentivare l’integrazione del Digital Single Market, il mercato unico europeo dove viene garantita la libera movimentazione di beni, servizi, capitali e persone. Il GDPR prevede un’applicazione diretta in tutti gli Stati membri dell’Unione, permettendo di creare un unico regime di protezione dei dati per tutto il territorio dell’UE. Protagonista del Regolamento Privacy europeo GDPR è il consenso: prima era libero, specifico, e sempre revocabile, anche nel caso fosse per iscritto; mentre ora è sempre revocabile, ma inequivocabile. Il titolare, infatti, deve essere in grado di dimostrare di aver ottenuto il consenso dell’interessato secondo i requisiti della legge.
Per questo verrà creata la “prova del consenso”:
Come abbiamo appena detto, il titolare deve essere in grado di dimostrare che ha acquisito il consenso dell’utente in una modalità valida. In particolare, però, dovrà dimostrare:
- chi ha prestato il consenso;
- quando è stato prestato il consenso;
- come è stato richiesto questo consenso;
- a quali documenti l’utente ha prestato il proprio consenso, oltre ai documenti di privacy e cookie policy che deve aver accettato.
La “portabilità del dato”
Si tratta di una tutela per chi ha sottoscritto il consenso: i dati devono essere comunicati al titolare in formato elettronico, leggibile e soprattutto riutilizzabile per poterli conservare o per trasferirli a un altro titolare.
Questo diritto alla portabilità del dato, che è una facilitazione, riguarda solo:
- i dati trattati con strumenti automatizzati;
- i dati il cui trattamento di basa sul consenso dell’interessato o su un contratto;
- i dati trasmessi direttamente dall’interessato: non sono più validi, quindi i dati derivati o i metadata.
Il “diritto all’oblio”: cosa significa?
Altro punto fondamentale di queste nuove normative riguardano il diritto all’oblio. Gli interessati hanno infatti diritto di richiedere la cancellazione dei dati che li riguardano salvo:
- quando entra in gioco il diritto alla libertà di espressione e informazione;
- per la difesa in sede giudiziaria.
Conosci la tua azienda?
Una domanda molto importante, questa: il GDPR prevede un forte cambiamento in quella che è la responsabilità del titolare del trattamento, che deve compilare un registro delle attività di trattamento, documento in cui il titolare tiene traccia dei dati relativi a dipendenti, fornitori, partner e soprattutto clienti, indicando e finalità del trattamento: un obbligo, quello del registro, per le imprese con più di 250 dipendenti, ma che può rappresentare anche per le piccole realtà una risorsa di gestione più efficace e ordinata della sicurezza dei dati.
Il GDPR mette qualunque persona nella condizione di controllare consapevolmente i propri dati, garantendo il diritto all’informazione, all’accesso, alla rettifica e alla cancellazione dei dati, il diritto alla limitazione del trattamento e il diritto di opposizione: il cambiamento ormai, è in atto anche qui in Siks ADV. Speriamo di esserti stati utili con questa piccola guida!