Domenica, 20 Maggio 2018 12:00

privacy: cosa cambia con il GDPR

In questi giorni veniamo tempestati di informative sulla privacy, che aggiornano le norme finora in vigore e che regolavano il modo con cui venivano gestiti i nostri dati personali nei tanti account sottoscritti in rete (social, email, blog, forum e via dicendo). Vediamo cosa cambia davvero.

Torniamo a parlare, dopo questo articolo, di social e internet. Stavolta però, concentriamoci sugli aspetti di privacy.

Ci siamo quasi: la scadenza per l'attivazione delle misure per il nuovo regolamento europeo sulla protezione dei dati personali è il 25 maggio prossimo. In dettaglio, parliamo del General Data Protection Regulation, il regolamento per la protezione generica dei dati: una norma europea cui ogni Stato dell'Unione, compresa l'Italia, deve adeguarsi entro la suddetta scadenza.

Gli impatti di tale norma saranno a carico di tutti coloro che si trovano a maneggiare dati personali: società di telefonia, pubbliche amministrazioni e qualsiasi azienda con cui l'utente si troverà a sottoscrivere un contratto contenente i suoi dati personali. Sono previsti nuovi e stringenti obblighi, oltre a nuove responsabilità per garantire maggiori misure di sicurezza a protezione dei dati personali dei cittadini.

Innanzitutto, il regolamento introduce nuovi concetti - come il diritto all'oblio - e regole più chiare in materia di informativa e di consenso - avete notato in questi giorni i vari siti web che vi invitano a leggere le informative sulla privacy - e definisce i limiti al trattamento automatizzato dei dati personali, stabilendo criteri e sanzioni rigorose nei casi di violazione dei dati personali.

Il regolamento in questione va a sostituire il codice della privacy attualmente in vigore in Italia, ed impone quindi ad imprese e Pubblica Amministrazione una forte responsabilizzazione, oltretutto a fattor comune per tutti i Paesi dell'Eurozona.

Iniziamo a vedere le principali novità. Innanzitutto, è noto che lo sviluppo tecnologico e la globalizzazione, da un lato offrono innumerevoli vantaggi, dall'altro comportano un rischio per la privacy di ognuno e per la protezione dei dati personali, sempre più condivisi sul web. Da cui nasce l'esigenza di predisporre un più robusto sistema di protezione del diritto alla riservatezza. Pertanto, devono conformarsi alle nuove prescrizioni in materia di privacy tutte le aziende pubbliche e tutte quelle realtà, private e non, in cui il trattamento dei dati presenta rischi specifici. Beninteso, il regolamento in parola si applica solo al trattamento di dati personali delle persone fisiche.

Aggiungiamo un nuovo elemento: i dati scadono. Ossia, l'azienda riceve i nostri dati personali per permetterci la fruizione di un servizio - fin qui ci siamo - ma non può tenerli per sempre. Deve essere specificato il tempo entro il quale il dato sensibile andrà trattato, allo scadere del quale il trattamento di tale dato diventerà illegittimo.

E' poi introdotto il concetto di 'accountability', termine inglese con cui si indica che deve essere responsabilizzato maggiormente il titolare del trattamento dei dati personali, proprio in considerazione del rischio che il trattamento possa comportare per i diritti e la libertà del cittadino. A tal fine, deve essere garantita la protezione dei dati a partire dalla progettazione del sistema di trattamento stesso - ad esempio con sistemi certificati. Ancora, sono introdotte regole più chiare in materia di informativa all'interessato e per l'esercizio dei propri diritti. Continuando, il consenso del soggetto interessato al trattamento dei dati personali deve essere sempre preventivo ed inequivocabile, anche quando espresso con mezzi elettronici: non è ammesso in alcun modo il tacito consenso. Infine, gli interessati hanno la possibilità di revocare in ogni momento il consenso a determinati trattamenti di dati personali, mentre il titolare del trattamento ha l'obbligo di adottare ogni misura necessaria contro il cosiddetto 'data breach' (violazione dei dati), comunicando evidentemente eventuali violazioni esterne dei dati personali dei propri utenti al garante nazionale e, in caso di violazione che minaccino i diritti e la libertà degli interessati, dovrà informare anche questi ultimi.

Accenniamo ora a due nuovi concetti: privacy by default e privacy by design. La privacy by default vuol dire tutelare la vita privata dei cittadini come requisito minimo ed imprescindibile (default). Mentre privacy by design vuol dire che la protezione dei dati personali deve avvenire già dalla progettazione dei processi aziendali, e non come ultimo aspetto meramente formale e dovuto. A ciò si associa il dovere dell'azienda di effettuare la valutazione dei rischi da privacy che deve poter minimizzare o escludere il verificarsi di danni agli interessati come la perdita dei distruzione dei dati, la perdita, la modifica o la divulgazione non autorizzata.

E' allora definito un responsabile all'interno dell'azienda: il responsabile della protezione dei dati personali - DPO (Data Protection Officer), un soggetto in possesso di specifici requisiti di competenza, esperienza, indipendenza, autonomia di risorse, che deve garantire la tutela della privacy attraverso la verifica della corretta applicazione del regolamento, la formazione del personale, la sensibilizzazione degli utenti, la consulenza e via dicendo.

Ed arriviamo al diritto all'oblio: il diritto ad ottenere la cancellazione dei propri dati personali dalle notizie e dai motori di ricerca, qualora il motivo che ha reso legittima la pubblicazione di quel dato non sia più di pubblica utilità. Ad esempio, la notizia di una persona assolta da un'accusa di cui i giornali e le testate online avevano dato precedentemente notizia. Oppure, semplicemente il soggetto chiede la cancellazione dei propri dati personali contestualmente alla revoca del consenso al trattamento concesso per fruire di un determinato servizio. Unico limite a tale diritto, quando il mantenimento dei dati è utile per interesse generale (ad esempio, parlando di salute pubblica) o quando i dati trattati in forma anonima dal titolare del trattamento sono necessari per la ricerca storica o finalità scientifiche e statistiche.

E chiudiamo con il 'data breach', la violazione dei dati in occasione, tipicamente, di attacchi informatici. Esiste ora il diritto del cittadino a conoscere la violazione dei dati che le aziende sono obbligate a comunicare al garante. E sono severe le corrispondenti sanzioni: pene pecuniarie fino ad un massimo di 20 milioni di euro o fino al 4 percento del fatturato annuo.

FONTE: https://business.laleggepertutti.it

Letto 246 volte