Cosa devi sapere sul GDPR e quali cambiamenti dovrà fare ogni azienda entro maggio

Abbiamo già parlato, a proposito delle novità sulla trasparenza annunciate da Facebook, del GDPR, uno dei temi più caldi in materia di privacy e che riguarda tutte le imprese, le Organizzazioni, le Pubbliche Amministrazioni e, in linea generale, chiunque possieda un sito web. Il nuovo regolamento sulla protezione dei dati voluto dall’UE diventerà pienamente applicabile a partire dal 25 maggio 2018 e, a differenza della cosiddetta “Legge Cookie” del 2014, impone che le aziende mettano a punto dei piani di adeguamento attenti e tempestivi. Alcune delle novità introdotte, infatti, prevedono la messa in opera di un’accurata pianificazione sia dal punto di vista dell’organizzazione aziendale che dal punto di vista degli investimenti di natura tecnologica. Proviamo a capire qualcosa in più sulle novità introdotte dal nuovo regolamento.

Cos’è il GDPR

Il GDPR, General Data Protection Regulation, fornisce agli utenti della rete internet un metodo per controllare il modo in cui i loro dati vengono raccolti e utilizzati e sarà pienamente applicabile a tutti i proprietari di siti web con visitatori dell’UE a partire dal 25 maggio 2018: ecco perché non farsi trovare impreparati è una priorità. L’intento dell’UE è quello di rafforzare la tutela dei dati personali dei cittadini dell’Unione di fronte ai rischi, molto più tangibili, di un mondo in forte evoluzione digitale (pensiamo ai social, all’Internet of Things, alla gestione dei Big Data, e via dicendo). Per perseguire questo obiettivo il nuovo regolamento impone alle organizzazioni pubbliche e private un cambiamento sostanziale che prevede specifiche responsabilità ed azioni puntuali: la tutela dei dati degli utenti, in pratica, passerà attraverso un processo strutturato che impone ruoli, responsabili e responsabilità, come sottolinea Gabriele Faggioli, legale del MIP. LEGGI ANCHE: Arriva, finalmente, una legge sulle vendite dai call center. Cosa devi sapere

Cosa cambia (o meglio, cosa dovrai cambiare)

Gli elementi di novità introdotti dal nuovo regolamento sulla Data Protection sono numerosi, ma vediamo di individuare i tre pilastri fondamentali in materia di tutela della privacy degli utenti e di raccolta dei dati:

• Il Diritto all’Oblio. L’utente ha il diritto di ottenere la cancellazione dei propri dati personali . Si tratta in sostanza della possibilità da parte dell’utente di ritirare il consenso al trattamento dei suoi dati. Cosa cambia per te? Che in questo caso dovrai cancellare completamente i dati che hai archiviato.
• Il Diritto alla Portabilità dei dati. Questo punto del GDPR garantisce all’utente la possibilità di scaricare i propri dati e di trasferirli altrove. In altre parole l’interessato avrà il diritto di ricevere i dati precedentemente forniti ad un titolare del trattamento e di ottenere che questi vengano trasmessi ad un altro titolare.
• Il Diritto di Accesso. A partire dal 25 maggio 2018 dovrai essere del tutto trasparente sul perché e il come utilizzerai i dati personali degli utenti che stai raccogliendo. Con l’introduzione dei registri delle attività di trattamento dovrai specificare le finalità per cui stai procedendo con il trattamento dei dati, le categorie di dati personali e di soggetti interessati e le misure di sicurezza tecniche ed organizzative che hai adottato.

Sarà anche necessario dotarsi di una procedura per informare gli utenti di eventuali violazioni dei dati. A tal proposito i nostri consigli sono due: fai in modo che il messaggio arrivi all’utente nel minor tempo possibile e informati sui plug-in a cui potrai appoggiarti per fare in modo di adempiere a questo passaggio del regolamento. Ma ricorda: l’estensione che tu, o chi per te, sceglierai dovrà essere conforme al GDPR. LEGGI ANCHE: Pensi che Facebook e Google siano gli unici a sapere tutto quello che fai? Sbagli

Le sanzioni per chi non si adegua

Per chi non si conformerà alle normative sono previste delle sanzioni salate. Come spiega Federprivacy, “dal 25 maggio 2018, potranno infatti arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale le multe per le violazioni del regolamento Ue 2016/679, e a destare maggiore preoccupazione è il fatto che da una ricerca condotta dalla Compuware Corporation su un campione di 400 chief information officer è emerso che solo il 28% delle grandi aziende italiane intervistate ha in atto un piano completo per garantire la conformità con il Gdpr”. Il controllo sul rispetto delle normative previste dal GDPR, inoltre, sarà molto rigoroso: ogni stato membro avrà un’autorità competente che gestirà la conformità GDPR attraverso gli audit web e avrà la possibilità di emettere sanzioni autonomamente. Il testo del GDPR rovescia la prospettiva della privacy: il regolamento, infatti, si basa sui doveri e sulla responsabilizzazione (accountability) del titolare del trattamento dei dati personali, mentre la normativa precedente si basava sui diritti dell’interessato.