GDRP: COME CAMBIA LA GESTIONE DEI DATI PERSONALI
Oggi (25 Maggio 2018) è il giorno in cui entra il vigore il General Data Protection Regulation - Regolamento generale sulla protezione dei dati, adottato il 27 aprile 2016. Il nuovo regolamento sarà applicato non solo ai siti e le piattaforme online che risiedono fisicamente entro i confini dell’Unione Europea, ma anche a tutti i siti che offrono servizi, informazioni e vengono prodotti ai cittadini della UE.
Le linee guida del GDPR prevedono che ogni Paese adegui la propria normativa sul trattamento dei dati personali alle indicazioni contenute nel regolamento.
In Italia, sempre all’avanguardia in fatto di pasticci, si è deciso di abrogare completamente la già ottima normativa esistente (il noto Decreto Legislativo 196 del 2003) lasciando, di fatto, un vuoto normativo importante (quando si dice buttare il bambino con l’acqua sporca).
Sostanzialmente in Italia, a meno che non intervenga una nuova normativa che recepisca quanto stabilito dal GDPR, si applicherà pedissequamente quanto stabilito da quest’ultimo.
Che cosa prevede quest’ultimo?
Ecco un sintetico elenco dei punti chiave del nuovo regolamento.
La grande novità del regolamento, rispetto a quanto stabilito dalle normative preesistenti, è che stabilisce aprioristicamente l’entità delle sanzioni a carico di coloro che subiscono il cosiddetto “Data Breach”, ovvero una violazione dei dati da essi conservati. Le sanzioni non sono per niente da sottovalutare visto che sono calcolate sul fatturato annuo globale dell’azienda o organizzazione colpevole di non aver adeguatamente protetto i dati degli utenti, e possono arrivare alla non trascurabile percentuale del 4% o al massimo a una cifra di 20 milioni di euro. Niente paura comunque, la UE nella sua infinità bontà ha deciso che le sanzioni saranno comminate non prima di due anni dalla ratifica del GDPR.
Il regolamento prevede una nuova e più ampia definizione dei dati personali. Sostanzialmente le categorie di dati che sono valutati come sensibili dal nuovo GDPR vanno ad includere informazioni come l’identità culturale, sociale, economica dell’utente, fino ad arrivare a dati come l’aspetto psichico o genetico. In buona sostanza occorrerà prestare particolare attenzione al tipo di campi che si implementano nei form, o ai quesiti dei sondaggi, visto che la mole di informazioni di cui saremo obbligati di rendere conto diventa notevolmente più ampia e complessa.
Il titolare del trattamento dei dati, dovrà esplicitare all’utente per quanto tempo manterrà il singolo dato, e le ragioni per le quali quel dato viene conservato. Si apre un discorso ampio associato alle finalità (vedi sotto) per cui lo stesso dato (es. un indirizzo email) può essere utilizzato per diverse finalità, e avere dunque tempi di conservazione differenti. C’è poco da scherzare e occorre prevedere un aggiornamento del proprio database contatti in modo tale che ogni finalità e uso dei dati sia coerente con le tempistiche di conservazione annunciate.
Il regolamento prevede che l’utente sia informato non più generalmente sulle finalità di richiesta e conservazione dei dati, ma in modo dettagliato. Quindi se attraverso un modulo di contatto intendiamo raccogliere dati sia per rispondere a delle informazioni, sia per inviare materiale pubblicitario, sia per altre ragioni, dovremmo offrire all’utente la possibilità di autorizzare o negare il trattamento per ognuna di queste finalità singolarmente. In sostanza spariranno i classici checkbox onnicomprensivi dove l’utente autorizzava generalmente all’uso dei suoi dati, mentre sarà necessario inserire un checkbox per ciascuna finalità.
Anche se interessa i siti e le piattaforme di nicchia, cambiano le cose anche per la raccolta di dati dei minori. Infatti il nuovo regolamento condiziona la raccolta e il trattamento dei dati dei minori sotto i 16 anni, al consenso dei genitori.
È vero che è prevista la possibilità di emendare a questa norma tramite la legislazione di ogni singolo Paese UE, che può virtualmente abbassare questa età (ma non oltre la soglia dei 13 anni), ma è altrettanto vero che attualmente in Italia si applicherà la norma così com’è. Quindi se vi rivolgete ad un target di utenti sotto i 16 anni, attrezzatevi per ottenere l’autorizzazione genitoriale per ogni raccolta e trattamento dati che riguarda i loro pargoli.
Meglio dimenticarsi gli oscuri giri di parole tesi ad incartare l’utente e “rubargli” il consenso all’uso dei suoi dati, così come è bene dimenticarsi dei pulsanti di accettazione già predisposti sul “sì”. Il GDPR prevede che la definizione delle finalità e l’uso dei dati, e di conseguenza la richiesta di autorizzazione, deve essere trasparente e semplice. Insomma deve essere chiaro per qualunque utente cosa si sta autorizzando e per quale ragione. Inoltre è previsto che il consenso sia effettivo, ovvero l’utente deve svolgere un’azione attiva e affermativa per offrire il suo consenso. Il semplice invio del form o la “non azione” per via di un checkbox già impostato sul “si”, non avrà alcun valore.
Il Data Protection Officer (DPO)
Tra le novità c’è introduzione di una nuova figura: il Data Protection Officer, che è sostanzialmente il responsabile interno all’azienda o all’organizzazione del trattamento dei dati in ossequio alla normativa.
Il DPO è una figura che diviene obbligatoria solo per gli enti pubblici e tutte quelle società o organizzazioni che elaborano dati su larga scala. Ma non è una figura dalle responsabilità evanescenti. Tutt’altro egli ha, tra i vari compiti, quello di segnalare al titolare del trattamento e all’autorità qualunque violazione dei dati.
Se è vero che già il Dlgs 196/2003 prevedeva la possibilità di richiedere la cancellazione dei dati, è altrettanto vero che il GDPR si spinge a certificare in modo chiaro la persistenza del cosiddetto “diritto all’oblio”, ovvero la sistematica e totale cancellazione di ogni dato riconducibile all’utente che ne fa richiesta. Questo è un diritto di qualunque utente che va preso con la dovuta serietà, senza tentare più o meno articolati raggiri per mantenere nel database quell’indirizzo email che ci fa tanto comodo per le nostre campagne.
Siamo oramai abituati a farlo con il nostro telefono mobile, per cui cambiando operatore manteniamo il nostro numero. Diciamo che la filosofia di questa novità non è tanto diversa. Infatti il GDPR prevede che il titolare del trattamento sia in grado di fornire all’utente una copia dei dati raccolti (ovviamente limitatamente a quelli dell’utente che ne fa richiesta) e fornirglieli in un formato compatibile. L’utente avrà facoltà di conservare questi dati e/o di trasferirli ad altre entità.
Quanto tempo ho per mettermi in regola?
In realtà sei già in ritardo. Il nuovo regolamento per la protezione dei dati personali (GDPR) entra in vigore ufficialmente il 25 Maggio 2018. Contestualmente la legge italiana che disciplina la materia, il DLgs 196/2003 viene abrogata. Quindi tutti i tuoi moduli, i documenti sulla privacy e qualunque altro sistema utilizzi per raccogliere i dati ed informare gli utenti sui loro diritti, rischiano di essere fuorilegge.
È sicuramente ipotizzabile che verrà concessa qualche settimana per adeguare siti e piattaforme, mentre le sanzioni non scatteranno prima di due anni. Tuttavia, se ancora non l’hai fatto, è bene che cominci a lavorare per mettere il tuo sito in regola con il GDPR ed evitare problemi.
Se hai bisogno di aiuto, contatta Creattivo
Il testo ufficiale ed integrale del nuovo regolamento (che invito tutti a leggere) è disponibile sul sito Eur-Lex al link sotto.
https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=OJ:L:2016:119:TOC
Hai bisogno di verificare se il tuo sito è in regola con il nuovo regolamento GDPR per la protezione dei dati personali? Contatta subito Creattivo.
