Il Regolamento UE 2016/679, meglio conosciuto come GDPR (General Data Protection Regulation), è entrato in vigore in tutta Europa il 25 maggio 2018. Il GDPR comporta una serie di significativi cambiamenti, introducendo nuove disposizioni giuridiche sui diritti per le persone.
Da oltre un mese, le leggi nazionali di protezione dei dati personali, e dunque per l’Italia è il caso del Codice Privacy n. 1996 del 2003, non sono più applicabili.
Continuate la lettura, per saperne di più sul GDPR.
GDPR: Facciamo un po’ di chiarezza
Chi riguarda il GDPR?
Tutti coloro che, nel campo della loro attività lavorativa, trattano dati personali, ovvero:
• Le aziende, di qualsiasi dimensione
• Le pubbliche amministrazioni
• I liberi professionisti
• Le associazioni e le cooperative
Va specificato che il GDPR si applica a tutte le organizzazioni che trattano dati relativi a clienti europei, non importa quale sia la loro posizione geografica.
Quali sono le tipologie di dati oggetto del GDPR?
• Qualunque informazione riguardante una persona fisica, ovvero ogni elemento caratteristico della sua identità fisica, economica, culturale, sociale ecc.
• Dati particolari: rientrano in questa categoria i dati biometrici (dati personali relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica), i dati genetici (dati relativi alle caratteristiche genetiche ereditarie o acquisite di una persona), i dati sulla salute e i dati relativi a opinioni politiche, convinzioni religiose, orientamento sessuale ecc. di una persona
• Dati relativi a condanne penali e reati
I soggetti interessati sono:
• Il titolare: la figura che determina i mezzi e le finalità per i vari trattamenti.
• Il Responsabile del Trattamento: preferibilmente esterno, deve fare la valutazione delle attività e l’analisi dei rischi che derivano dal proprio trattamento, realizzando contromisure pertinenti al rischio elevato.
• Il DPO (Data Protection Officer), un consulente qualificato che si occupa in modo esclusivo della materia della protezione dei dati personali. Il DPO viene nominato obbligatoriamente negli enti pubblici e nelle aziende le cui principali attività implicano “un monitoraggio regolare e sistematico di dati su larga scala”.
Chi è sanzionabile?
Il Titolare, amministrativamente e giuridicamente, è il responsabile ultimo del trattamento dei dati. Il Responsabile dei Dati risponde per il danno causato dal trattamento solo se ha agito in modo difforme rispetto alle indicazioni fornite dal Titolare o se non ha adempiuto correttamente agli obblighi stabiliti.
Infine, le sanzioni economiche non sono mai attribuibili direttamente al DPO, che è sanzionabile come qualsiasi dipendente: tuttavia, rimane un profilo di responsabilità penale in capo al DPO, nel caso sia la sua condotta a determinare il danno.
Quali sono le principali novità introdotte dal GDPR?
Tra le molte novità introdotte dal GDPR, troviamo:
• Il principio di responsabilizzazione (accountability): i titolari del trattamento devono sempre assicurare il rispetto dei principi applicabili al trattamento dei dati personali;
• Data Protection by Design: si intende il bisogno di tenere conto del flusso dei dati e dei sistemi che ne garantiscono la protezione fin dalla progettazione del servizio o del prodotto;
• L’obbligo di notifica in caso di violazione: eventuali violazioni dei dati devono essere notificate dal Titolare del trattamento all’autorità Garante e ai soggetti i cui dati sono stati violati entro 72 ore dal fatto.
GDPR, i nuovi diritti dei cittadini
IL GDPR è una vera e propria rivoluzione nell’ambito della gestione del trattamento dei dati personali. Ma, sebbene la nuova disciplina sia stata ispirata dall’esigenza di introdurre una normativa più rigida, dando la priorità alla maggiore tutela e consapevolezza dell’utilizzo dei dati personali, va registrato una sorta di “vuoto informativo” nei confronti della categoria direttamente interessata, ovvero i cittadini europei, titolari dei dati.
Si è dunque verificato uno squilibrio tra le informazioni trasmesse al cittadino rispetto a quelle veicolate verso le aziende: al cittadino vengono proposti messaggi estremamente lunghi e tecnici, generalmente nel momento di accesso alle app utilizzate abitualmente.
E, per continuare ad usare le app, al cittadino non resta che accettare le condizioni, acconsentendo sulla normativa dati.
Nel GDPR, tuttavia, il cittadino titolare dei dati assume un ruolo attivo, vedendosi riconosciuti nuovi e specifici diritti, tra i quali troviamo:
• La richiesta del consenso: se decidiamo di dare il consenso, dobbiamo essere informati su chi userà i nostri dati e perché. La richiesta del consenso può avvenire in diverse modalità, a seconda del tipo di servizio o all’utilizzo o meno di mezzi elettronici, ma in ogni caso le informazioni vanno richieste utilizzando un linguaggio chiaro e semplice.
• La tutela sulla prestazione del consenso: il consenso deve venire espresso attraverso un atto positivo libero, specifico ed inequivocabile, e può essere comunicato in forma scritta, oralmente o con mezzi elettronici.
• Il divieto di trattare alcune tipologie di dati: i dati non sono tutti uguali, non hanno tutti lo stesso valore. Vi è il divieto di trattare alcune categorie di dati, quelli inerenti l’origine etnica, le opinioni politiche, le convinzioni religiose e i dati relativi alla salute o alla vita sessuale della persona.
• Il diritto di accesso dell’interessato: la persona interessata ha sempre il diritto di avere la conferma dal titolare del trattamento che vi sia un effettivo trattamento dei propri dati in corso. E, nel caso positivo, la persona deve poter accedere alle informazioni riguardanti il trattamento specifico.
• Il dovere di fornire le informazioni richieste: il titolare del trattamento ha l’obbligo di fornire riscontro al cittadino che ha richiesto l’accesso.
• La possibilità di proporre reclamo/ricorso: è una possibilità riconosciuta al cittadino se il titolare del trattamento non da il riscontro richiesto.
• Il diritto di rettifica: può essere esercitato qualora l’interessato riscontri inesattezze nei dati personali utilizzati. Poiché questa è un’ipotesi frequente, al cittadino viene riconosciuto questo diritto in modo che l’errore non lo danneggi.
• La revoca del consenso: l’interessato può richiedere in qualunque momento la revoca del consenso all’utilizzo dei propri dati.
• Il diritto all’oblio: è il diritto alla cancellazioni dei dati, uno dei diritti espressi con maggiore forza dal GDPR. Alla richiesta della cancellazione, il titolare del trattamento deve adempiere senza ritardo immotivato.
• Il diritto di limitazione del trattamento: l’interessato ha il diritto di ottenere una limitazione di uso dei dati, una sorta di sospensione temporale del trattamento.
• Il diritto alla portabilità dei dati: l’interessato ha il diritto di ricevere in un formato strutturato i dati che lo riguardano, forniti dal titolare del trattamento, e ha anche il diritto di trasmettere quei dati ad un altro titolare senza impedimenti.
Infine, il diritto di opporsi al trattamento dei dati: è un diritto che può essere esercitato dal cittadino in qualunque momento, senza motivi particolari
La tua azienda non si è ancora adeguata al GDPR?
Il Regolamento Europeo sulla protezione dei dati non deve essere visto dalle aziende meramente come un obbligo che implica dei costi, ma piuttosto come un investimento fondamentale per sostenere il proprio futuro nel mercato.
La digitalizzazione è un’enorme opportunità per aziende e professionisti ma, per renderla pienamente efficace, deve realizzarsi in totale sicurezza: il GDPR non è quindi un vincolo ma una garanzia per l’intero sistema.
Tra le soluzioni che permettono un approccio più lungimirante, garantendo un controllo totale, troviamo proprio Agyo Privacy, software di TeamSystem completamente integrabile con altre soluzioni della piattaforma.
Privacy in Cloud è un software in Cloud, che permette di gestire tutti gli adempimenti imposti dal nuovo GDPR. Con Privacy in Cloud, è possibile:
• Adeguarsi alla Normativa 2016/679, evitando le sanzioni: chi non adempie alla Norma, rischia ammende che possono arrivare fino al 4% del fatturato annuo dell’azienda.
• La nomina delle figure responsabili: con Privacy in Cloud, è possibile nominare i Responsabili del Trattamento e i DPO utilizzando la modulistica già presente all’interno del software.
• L’analisi dei rischi e delle misure di sicurezza: Privacy in Cloud permette di analizzare i rischi aziendali, valutarne l’impatto e consente la gestione delle misure di sicurezza da realizzare.
• Avere a disposizione una dashboard visuale, dove i trattamenti sono consultabili da qualsiasi dispositivo anche mobile.
• Gestire le anagrafiche dei dipendenti e collaboratori.
Cosa aspetti? Il GDPR è in vigore da più di un mese! Contattaci per maggiori informazioni su Privacy in Cloud!