GDPR: la data economy al via

Una guida agile sulle novità e su quanto Microdata - il cui core business è la gestione delle informazioni - sta investendo, a tutela dei propri clienti.

Dal 25 maggio 2018 entra in vigore nell’Unione Europea la normativa GDPR, che definisce un nuovo quadro comune e omogeneo in materia di tutela dei dati personali, all’interno del quale i dati personali dei cittadini possano circolare liberamente, ma con elevate garanzie di tutela dei diritti.

Il core business di Microdata Group è la gestione delle informazioni e, pertanto, abbiamo ritenuto utile e opportuno offrire un’agile guida sulle novità del regolamento e sulle attività che abbiamo messo in campo a tutela dei dati dei nostri dipendenti, fornitori e clienti.

 

 1) Che cos’è il GDPR

È il Regolamento UE n.679/2016 sulla protezione dei dati. L’acronimo G.D.P.R. significa General Data Protection Regulation (in italiano RGPD – Regolamento Generale sulla Protezione dei Dati).

Il GDPR definisce quindi regole uniche in materia di trattamenti di dati, che riguardano una persona fisica, effettuati nel territorio dei Paesi Membri dell’Unione.
Si può quindi parlare di Statuto della Data Economy.

Il GDPR si riferisce a tutti i soggetti operanti nel Mercato Europeo, che così facendo disporranno di un set di regole condivise cui anche chi è posto fuori dall’Unione Europea sarà obbligato ad attenersi. Quindi ogni cittadino europeo ha diritto di vedere applicato il Regolamento Europeo anche quando i dati sono raccolti da una società extraeuropea.

 

 2) Normativa: cosa cambia e come deve essere l’informativa aziendale?

a) Cambia la prospettiva

Finora al centro delle normative di Data Protection è stata posta la persona, intesa come persona fisica, definito “Interessato” e portatore di diritti, depositario di interessi legittimi e di aspettative che l’ordinamento riconosce e tutela. Con l’evoluzione tecnologica i dati acquistano valore in sé e vengono tutelati per ciò che sono, a prescindere, si potrebbe dire, dalle persone cui si riferiscono.

b) La privacy diventa un processo aziendale, da gestire in tutte le sue fasi

  1. Cambia il consenso al trattamento che cessa di essere necessariamente espresso e diventa un consenso inequivocabile e quindi desumibile in base ai comportamenti degli interessati.
  2. Cambiano i ruoli del trattamento, con l’introduzione della figura del Data Protection Officer (DPO secondo il GDPR, RPD – Responsabile per la Protezione dei Dati secondo il Garante della Privacy italiano), persona esperta nella protezione dei dati il cui compito sarà di valutare e organizzare la gestione del trattamento di dati personali, e dunque la loro protezione, all’interno di un’azienda, di un ente o di un’associazione, affinché questi siano trattati in modo lecito e pertinente.
  3. Vengono introdotti i Registri dei Trattamenti (rispettivamente “del Titolare” e “del Responsabile”), strumenti fondamentali per avere di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda, e indispensabili per ogni valutazione e analisi del rischio relativamente alla protezione dei dati trattati.
  4. Viene formalizzato l’obbligo, per amministrazioni pubbliche e aziende, di comunicare al Garante Privacy i casi di Data Breach, ovvero le violazioni di sicurezza in grado di comportare la perdita, distruzione o diffusione indebita e illegittima dei dati personali trattati, entro 72h dalla scoperta della violazione.
  5. Viene ulteriormente rafforzato il concetto di Retention dei dati, andando a definire la necessità di formalizzare un periodo di conservazione dei dati, oltre il quale questi dovranno necessariamente essere cancellati al fine di non incorrere in un trattamento/conservazione illegittima
  6. Vengono introdotti nuovi diritti, come quello alla portabilità dei dati, per cui ogni Interessato potrà trasferire i propri dati da un Titolare a un altro, con la garanzia della leggibilità.
  7. Viene formalizzato un sistema sanzionatorio per le aziende inadempienti a quanto previsto dal Regolamento, con sanzioni amministrative fino a 100 milioni di euro o fino al 4% del fatturato mondiale annuo.


c) Quali dati deve contenere l’informativa aziendale?

L’informativa diventa concisa, trasparente, intelligibile, facilmente accessibile, con un linguaggio semplice e chiaro, comprensibile anche ai minori.

Deve contenere i seguenti elementi:

  1. se il conferimento dei propri dati personali è obbligatorio o facoltativo;
  2. le conseguenze di un eventuale rifiuto a rendere disponibili i propri dati personali;
  3. Identità e dati di contatto del Titolare del trattamento o dei suoi rappresentanti e, se è stato designato, il Responsabile del trattamento;
  4. in che modo e per quale scopo (finalità del trattamento) verranno trattati i propri dati personali;
  5. a chi saranno comunicati o se saranno diffusi i propri dati personali;
  6. Base giuridica del trattamento e diritti previsti dall’art. 7 del Codice;
  7. Periodo e criteri di conservazione delle informazioni;
  8. Eventuale intenzione del titolare del trattamento di trasferire dati personali a un paese terzo.

d) Tempi dell’informativa

Nel caso di dati personali non raccolti direttamente presso l’interessato (art. 14 del regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato) (diversamente da quanto prevede attualmente l’art. 13, comma 4, del Codice).

 

 3) Consenso: cosa cambia

Come già noto, il consenso deve essere, in tutti i casi, libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo). e deve essere manifestato attraverso “dichiarazione o azione positiva inequivocabile” (per approfondimenti, si vedano considerando 39 e 42 del regolamento).

Le novità del Regolamento, invece, rispetto alla precedente normativa, riguardano i seguenti aspetti:

  1. Per i dati “sensibili” (art. 9 regolamento,), il consenso deve essere “esplicito”; lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22).
  2. il consenso non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili); inoltre, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.
  3. il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

 

 4) Microdata e il GDPR: nuovo approccio con fornitori e clienti

  • Il nostro core business è la gestione delle informazioni. Il nostro approccio è quello di andare sempre oltre, continuando a investire per ottenere un vantaggio competitivo, con l’obiettivo di garantire ai nostri clienti livelli di qualità e sicurezza superiori anche a quanto richiesto per legge. Seguendo quest’ottica, abbiamo messo a punto un piano di adeguamento e di formazione, accompagnati da una società di consulenza leader di settore, al fine di approfondire tematiche relative alle tecnologie digitali e ai nuovi aspetti normativi ad esse legati (confronto con un mix tra avvocati ed esperti di digitalizzazione dei processi). Sono stati coinvolti in modo trasversale in un unico tavolo di lavoro i manager aziendali dalle aree di produzione, IT, commerciale e risorse umane.
  • A valle di un assessment della nostra situazione, abbiamo condiviso con gli esperti la documentazione relativa all’azienda (policies, procedure, ecc.), per poi proseguire il percorso di adeguamento e revisione dei nostri processi con una serie di incontri di formazione.
  • Da due anni ci siamo dotati di un sistema di iperconvergenza, che ci consente una gestione di dati, in continuità e sicurezza, più semplice, sicura e meno costosa. La sicurezza è legata al fatto di non perdere i dati garantendo la continuità del servizio (Business Continuity), indipendentemente dalle possibili problematiche sui nostri dispositivi.
  • Il futuro della gestione dei dati – sul quale stiamo effettuando investimenti – è sempre più orientato alla cifratura di immagini e informazioni, che vanno protette e tutelate, con l’obiettivo di concederne l’utilizzo solo a coloro che hanno adottato le tecnologie più evolute che offre il mercato.

  5) Le fonti

Normativa
http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016R0679&from=IT

Guida a cura del Garante per la privacy
http://www.garanteprivacy.it/web/guest/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali