Privacy: il Gdpr del 2018 per le società. Cosa cambia?

836
gdpr e privacy

Dal 25 maggio 2018 entrerà in vigore la nuova legge sulla privacy, la General data protection

regulation (Gdpr, regolamento europeo 2016/679). Ma quali cambiamenti porterà con sé? Quali saranno le novità introdotte?

Innanzitutto, è ormai sotto gli occhi di tutti quanto stia cambiando il nostro modo di vivere… Diventiamo, con il passare del tempo, sempre più tecnologici. La nostra vita è ormai scandita dalla tecnologia: la prima cosa che la maggior parte di noi fa quando si sveglia la mattina, ma anche prima di addormentarci la sera, è controllare il nostro cellulare.

Tutti ormai siamo registrati ad almeno un social network, inseriamo i nostri dati sensibili continuamente nel web. Se questo riguarda il nostro mondo privato, non fanno eccezione nemmeno i luoghi di lavoro.

Tutti i datori di lavoro hanno, infatti, database in cui sono inseriti i dati sensibili dei propri lavoratori, tutto ciò che facciamo passa ormai attraverso i computer, attraverso la tecnologia, per cui anche le nostre informazioni più personali diventano possibile bersaglio di ogni tipo di violazione informatica.

Per questo le leggi riguardanti la privacy diventano sempre più importanti nel mondo globalizzato.

A questo proposito, stiamo per assistere nel 2018 all’esordio di una nuova normativa europea sul trattamento dei dati personali rivolta alle società la General data protection regulation (Gdpr). La Gdpr, andrà a sostituire il Codice privacy, in vigore dal 2003 e vedrà un’uniformità legislativa in campo di privacy per tutti i paesi dell’Unione Europea, legiferando sull’importanza della gestione dei dati sensibili.

Saranno imposte nuove obbligazioni, come la tenuta del registro per le attività di trattamento (obbligatoria per le aziende che superano i 250 dipendenti, ma consigliata in tutti i casi), nuove procedure, come l’avviso rispetto a qualunque violazione dei dati, i cosiddetti data breach, ma anche figure innovative, come il Responsabile di quanto detto fin ora, cioè della privacy.

Il ruolo del Responsabile della protezione dei dati, data protection officer (Dpo), è obbligatorio per gli esercizi pubblici, mentre per gli enti privati può essere nominato solo “quando i trattamenti effettuati sono rischiosi per la generalità degli interessati”, cioè quando c’è un monitoraggio dei soggetti coinvolti su larga scala. Il ruolo di Responsabile della protezione dei dati può essere affidato sia a dipendenti interni alla società, che a terzi del tutto estranei alla società stessa.

Il Responsabile gode di una certa indipendenza dal proprio datore di lavoro, in quanto il suo compito prevede il controllo del proprio datore di lavoro stesso.

Il Garante, inoltre, sottolinea che per l’assunzione del ruolo di Dpr non sono obbligatori titoli ed iscrizioni ad un albo, almeno per il momento.

Questo comporterà anche l’introduzione di un nuovo vocabolario, per lo più ricco di termini derivanti dall’inglese, ma che diventeranno per noi sempre più familiari. Un esempio è la privacy by design, per la quale l’utente è considerato il centro del sistema della privacy stessa, cioè la progettazione (design) la riservatezza e la protezione dei dati dell’utente saranno centrali. Ma anche la privacy by default diventerà sempre più centrale nella Gdpr: la privacy by default stabilisce che le aziende dovranno raccogliere i dati strettamente indispensabili ai propri fini e che questi dati verranno mantenuti solo per il periodo necessario e non oltre.

La Gdpr è incentrata, fondamentalmente, sul concetto di accountability, cioè di responsabilizzazione per la tutela dei dati sensibili del soggetto.

Ma di chi si parla quando si fa riferimento agli utenti? Gli utenti sono tutti coloro che entrano a contatto con le società: i clienti, i dipendenti, i gestori, i fornitori e perfino coloro che visitano il sito Internet. Siamo di fronte ad una vera e propria rivoluzione copernicana della normativa sulla privacy.

Ciò che preoccupa le società è: che succede quando la Gdpr non viene rispettata? Il Garante stabilisce che l’inosservanza di quanto legittimato dalla Gdpr comporta sanzioni che possono arrivare anche al 4 % del fatturato o a 20 milioni di euro.

Qualunque violazione della privacy impone, inoltre, un’azione immediata del Responsabile della privacy. Ogni azienda dovrà infatti essere dotata di un sistema e di una pianificazione che consentano una reazione immediata a qualunque intrusione, sia che si parli di un tentativo di accesso alle informazioni, o che si parli di un vero e proprio furto dei dati. Ogni data breach va notificato al Garante entro 72 ore.

In più, diventa obbligatorio un registro aziendale, scritto o elettronico, che espliciterà le attività del titolare e del Responsabile. Questo registro ha una doppia finalità: da un lato prevede un’organizzazione più razionale, dall’altro è a disposizione delle autorità competenti ogni qual volta venga richiesto.

Come già sottolineato, è obbligatorio per le società con più di 250 dipendenti, ma il Garante lo consiglia per tutte le attività.

Article 29 data protection working party è un organismo di consultazione indipendente formato da un rappresentante dei Garanti per la protezione dei dati di ognuno degli Stati dell’UE, dal Garante europeo ed infine da un membro della Commissione UE. Questo organismo sta diventando sempre più centrale per l’adeguamento delle società rispetto alla nuova legge sulla privacy perché ne facilita la comprensione e chiarisce le linee guida del nuovo Regolamento. Nel solo mese di ottobre il Working party ha già postulato le linea guida rispetto ai data breach (violazione dei dati), alle decisioni automatizzate e attività di profilazione e alla valutazione d’impatto sulla protezione dei dati.

Se quanto imposto dalla Gdpr può risultare dispendioso sia da un punto di vista economico che in termini di tempo e fatica, è bene ricordare che la tutela della privacy sui dati sensibili è sempre più importante, in un tempo in cui i reati informatici sono sempre più consueti.