Cosa dice il GDPR? Il regolamento in sintesi...
Se stai leggendo questo articolo, molto probabilmente stai "sbattendo la testa" da mesi contro il GDPR, cercando di capire come adeguare la tua azienda e i tuoi strumenti aziendali alla normativa. Prima di fare una sintesi delle novità del GDPR, ti consiglio di dare un'occhiata a GDPR Zucchetti che ti permette di gestire in maniera semplicissima e automatizzata il GDPR e di capire dove intervenire all'interno della filiera del dato, individuandone i punti critici.
Hai dato un'occhiata al software GDPR Zucchetti? Bene, ora parliamo di questa normativa europea e quindi cos'è il GDPR...
L’entrata in vigore del GDPR (“General Data Protection Regulation” ovvero il Regolamento Generale sulla Protezione dei Dati UE 2016/679) è stata prevista per il 25 maggio 2018. Il seguente articolo è puramente riassuntivo e intende offrire una sintesi del GDPR e tutte le novità più importanti: se volete conoscere la normativa in dettaglio, potete scaricare gratuitamente il GDPR in italiano in formato PDF nell’area DOWNLOAD all’interno di questa pagina o cliccando qui, oppure potete contattarci per scoprire il nostro servizio di Consulenza GDPR, per mettersi in regola con la normativa e non incappare in severe sanzioni.
Se sei un professionista delle Risorse Umane e ti interessa il tutelare il dati di dipendenti, candidati ecc..., puoi leggere il nostro articolo per scoprire qual è l'impatto del GDPR nelle Risorse Umane e quali attività sono necessarie per adeguarsi.
Innanzitutto una precisazione. Cosa sono i dati personali? In breve:
I dati personali sono qualsiasi informazione identificata o identificabile relativa a una persona fisica.
Gli obiettivi del GDPR sono fondamentalmente due:
-
fornire ai cittadini europei un maggiore controllo sui propri dati personali
-
semplificare il quadro normativo e stabilire regole per le imprese che gestiscono tali dati.
Tra le principali novità del GDPR rispetto alla norma vigente ormai dal 1995 (Direttiva 95/46/EC sulla Protezione dei Dati), ci sono:
oltre i confini nazionali: il regolamento tutela i dati personali dei cittadini europei e viene applicato a tutte le aziende che operano all’interno dell’Unione Europea e che gestiscono i dati personali di individui residenti nell’UE.
chiarezza e consenso: tutte le aziende sono tenute a spiegare in maniera chiara e senza possibilità di equivoco, tutte le condizioni che regolano la raccolta e il trattamento dei dati. È inoltre obbligatorio dichiarare all’utente come verranno elaborati i suoi dati. Quando si raccolgono i dati personali di qualcuno, già adesso c’è bisogno di ottenere un consenso. Tuttavia questo aspetto viene spesso aggirato attualmente, ad esempio, attraverso clausole fumose. Con il GDPR, le regole su come ottenere questo consenso saranno ferree e saranno basate proprio sull’inequivocabilità: il consenso deve essere “dato liberamente, specifico, informato e chiaramente indicato”. Questo significa che è improbabile che la clausola standard di "consenso al trattamento dei dati" presente nella maggior parte dei contratti (anche quelli di lavoro) sia sufficiente dopo l'entrata in vigore del GDPR. Bisogna prestare inoltre attenzione se si fa affidamento su caselle pre-barrate o su altri simili approcci “opt-out” per ottenere il consenso. Affinché il consenso sia legittimo per l'elaborazione dei dati ai sensi del GDPR, l'individuo deve effettuare una scelta informata e i tipo “opt-in”.
multe se non rispetti il regolamento: uno degli aspetti più discussi sono proprio le sanzioni per chi non applica in maniera corretta le disposizioni del GDPR. Tali sanzioni possono arrivare fino al 4% del fatturato annuale o a 20 milioni di euro. Ad esempio, può essere multata un’azienda che non ha policy adeguate per il trattamento dei dati personali dei propri dipendenti o viola il concetto di data protection by design per i servizi/prodotti che vende e/o utilizza. Secondo le nuove regole, l’utente dovrà segnalare tempestivamente una "violazione dei dati personali" al Commissario per l'informazione e, se possibile, entro 72 ore. Se non la effettua in questo lasso di tempo, bisogna fornire una "giustificazione motivata" per il ritardo (lo sai che l'Italia è al primo posto per multe GDPR?).
Uno dei principi fondamentali introdotti dal GDPR è l’accountability. Tradotto come “principio di responsabilità”, l’accountability coinvolge anche aspetti quali l’affidabilità e la competenza aziendale nella gestione dei dati personali:
[in virtù del principio di accountability] il Regolamento dispone che il titolare del trattamento adotta politiche e attua misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme allo stesso Regolamento.
Tra i metodi per la protezione dei dati, si dà risalto alla crittografia, che diventa una misura minima (quindi necessaria ma non sufficiente). Ciò comporta una revisione di tutti i sistemi di memorizzazione dei dati (server, database) e, se necessario, anche nei flussi email.
Altra metodologia è la pseudonimizzazione, ovvero il trattamento dei dati personali eseguito in modo tale che questi non possano più essere attribuiti a un individuo specifico. Per fare ciò è necessario che tali informazioni siano conservate separatamente e che non possano essere attribuite ad una persona fisica identificabile.
L’uso di codici e pseudonimi può essere particolarmente interessante laddove è presente un software capace di rendere automatico tale processo. Per questo motivo crittografia e pseudonimizzazione vengono spesso associati ai concetti di data protection by design e by default.
DATA PROTECTION BY DESIGN & BY DEFAULT
All’interno del GDPR, art. 25, si parla di “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”. Un errore terminologico piuttosto comune, è quello di parlare di “privacy by design” e non di “data protection by design”. Sebbene possa sembrare una banalità, è fondamentale comprendere che nel GDPR si prospetta una PROTEZIONE dei dati fin dalla progettazione (di un software per esempio) e non di SICUREZZA dei dati fin dalla progettazione. Parlare di sicurezza è riduttivo (d’altronde la parola privacy nel GDPR non compare mai, così come GDPR è, non a caso, acronimo di General Data PROTECTION Regulation).
Infatti:
“Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.”
GDPR E NUOVI DIRITTI
Il GDPR stabilisce nuovi diritti per i cittadini dell’Unione Europea, per tutelare i propri dati. Oltre a quelli del diritto di informazione (chiarezza sul corretto utilizzo dei dati personali) e di accesso, ce ne sono altri tra cui:
-
il diritto alla rettifica dei dati: si può richiedere in qualunque momento che i dati precedentemente raccolti vengano corretti;
-
il diritto all’oblio: in determinate circostanze (tra gli altri, se i dati vengono trattati in maniera illecita o se non sono più necessari rispetto alle finalità per la quale sono stati raccolti), qualunque cittadino ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano
-
il diritto alla portabilità dei dati: una delle novità introdotte dal GDPR. L'interessato ha il diritto di ricevere in un formato di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti in precedenza ad un titolare del trattamento.
IL RESPONSABILE DELLA PROTEZIONE DEI DATI
Il GDPR introduce la figura del responsabile della protezione dei dati (DPO), figura già esistente in altri Paesi membri dell’UE, cioè un consulente qualificato, che affianca il titolare nella gestione delle questioni connesse al trattamento dei dati personali e lo aiuta a rispettare la normativa. Il responsabile della protezione dei dati è una figura che viene nominata dal titolare o dal responsabile del trattamento e che può essere interno all’azienda (ad esempio un dipendente, se affidabile ma soprattutto se ha una comprovata conoscenza specialistica della materia) o esterno (ad esempio un libero professionista esperto in materia).
Tra i requisiti del DPO ci sono:
- un'idonea competenza e conoscenza della normativa e della prassi in materia di gestione e protezione dei dati personali. Non è necessario che sia in possesso di attestazioni formali, né esistono attualmente abilitazioni o certificazioni particolari. Può essere qualificante, però, l’aver conseguito un master in materia o un corso di perfezionamento.
- non può essere un dirigente o un soggetto che si trova ai vertici dell’azienda. È necessario, infatti, che il DPO sia una figura indipendente che svolga le sue funzioni in assenza di conflitto d’interesse (d’altronde, come si suol dire, il controllore non può essere uguale o pari al controllato).
