<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=147485065963339&amp;ev=PageView&amp;noscript=1">

GDPR

Cosa implica il Regolamento Generale sulla Protezione dei Dati

arrow_downward

GDPR: la sicurezza al primo posto

Le norme sulla protezione dei dati

GDPR | La normativa sulla privacy

In questo periodo avrai sicuramente sentito parlare di GDPR ("General Data Protection Regulation"), il nuovo Regolamento europeo sulla protezione e sul trattamento dei dati personali.

È stato pubblicato sulla Gazzetta Ufficiale il 4 Maggio 2016 ed è entrata in vigore qualche settimana dopo, il 25 Maggio 2016, ma non ha ancora efficacia.

È necessario, infatti, che passino 2 anni dall'entrata in vigore, in modo da permettere a tutti di venire a conoscenza delle novità e adeguarsi a esse. Così, il prossimo 25 Maggio 2018 il regolamento diverrà finalmente applicabile, abrogando la vecchia direttiva 95/46/CE.

La situazione attuale: la Direttiva 95/46/CE

All'interno dell'Unione Europea, come già accennato, vige già un complesso di regole che governano il trattamento, anche non automatizzato, dei dati personali. Si tratta della direttiva 95/46 CE, introdotta il 24 Ottobre 1995 dal Parlamento Europeo e dal Consiglio e chiamata anche "Direttiva Madre", in quanto riferimento principale. L'Italia ha recepito la direttiva con il d.lgs 196 del 30 giugno 2003.

L'obiettivo che si voleva perseguire al momento dell'elaborazione della Direttiva Madre era duplice:

  • il raggiungimento di un livello minimo di protezione da garantire alle persone riguardo la raccolta e il trattamento dei loro dati personali;
  • la libera circolazione di questi all'interno dei vari Stati appartenenti alla Comunità.

Sulla base di quest'ultimo obiettivo si andava a creare una disciplina armonica con lo scopo di affievolire tutte le differenze tra le norme dei singoli Paesi.

Ma nel '95, cioè quando fu elaborata, la "situazione tecnologica" non era assolutamente paragonabile a quella di adesso. La scena non era certamente dominata da tecnologie all'avanguardia come quelle di oggi. Senza pensare al fatto che la portata della condivisione e della raccolta dei dati è aumentata vertiginosamente negli ultimi anni.

La necessità di cambiamento

GDPR | Nuove tecnologie, nuove necessità

Questo è stato il motivo per cui è nata la necessità di elaborare un quadro giuridico più solido, che garantisse al contempo il progresso dell'economia digitale e un maggior controllo dei propri dati personali da parte degli utenti del mondo online.

Inoltre, dato che un'alta percentuale di utenti continua a ritenere rischiose le operazioni online, aleggiava da tempo la necessità di designare una disciplina al passo con i tempi, affiancata da efficaci misure di attuazione.

I principali cambiamenti previsti dal Regolamento

autorenew

Cosa cambia da maggio 2018?

Una ricerca effettuata da HubSpot mostra che sfortunatamente solo il 36% dei marketer ha sentito parlare di GDPR e il 15% delle società addirittura non ha ancora messo in pratica alcuna misura in previsione del regolamento e, molto probabilmente, non saranno in conformità con i nuovi dettati.

I principali cambiamenti previsti dal Regolamento (e rispetto ai quali i marketer dovranno adeguarsi) riguardano coloro a cui si rivolge il regolamento e il periodo di conservazione dei dati

person_pin_circle

A chi si rivolge il Regolamento?

Mentre l'attuale legislazione è diretta solo alle aziende che operano all'interno dell'UE, la GDPR deve essere rispettata anche dalle organizzazioni che hanno la loro sede al di fuori dell'UE se commerciano i loro prodotti/servizi con persone appartenenti all'UE e/o monitorano comportamenti di persone che si trovano nell'UE.

In altre parole, se un'azienda non appartiene all'UE ma controlla e/o elabora dati riguardanti persone che ne fanno parte, anch'essa è tenuta al rispetto della normativa.

storage

Qual è il periodo di conservazione?

Un'altra grande novità è il diritto dell'interessato a conoscere il periodo in cui i dati che lo riguardano saranno conservati nei database aziendali.

Con l'introduzione della GDPR le aziende hanno il dovere di definire un periodo massimo entro il quale potranno conservare i dati personali.

Decorso tale termine, i dati dovranno essere eliminati dai CRM oppure “anonimizzati”, cioè dovrà essere impossibile risalire alla persona fisica cui si riferiscono.

I diritti del soggetto interessato

Il Regolamento stabilisce, in via generale, le modalità per l'esercizio di tutti i diritti da parte degli interessati.

Ai fini della raccolta dati, deve essere esplicitamente rilasciato un consenso da parte dei proprietari delle informazioni personali. Le condizioni affinché questo sia valido è che le finalità per cui viene richiesto siano esplicite, chiare, legittime e adeguate.

Il consenso è valido anche se rilasciato da un minorenne, purché questo abbia compiuto i 16 anni. Se, invece, la raccolta di dati personali riguarda soggetti al di sotto dei 16 anni, il consenso allora deve essere rilasciato da un genitore o da chi ne ha la potestà (deve essere verificabile).

La nuova disciplina prevede che il rilascio del consenso avvenga attraverso un'esplicita dichiarazione o una chiara azione affermativa, a differenza della vecchia normativa, che deduceva il consenso da alcune circostanze ambigue (regola del silenzio-assenso) e non vi era la sottoscrizione di nessun tipo di documento.
Fino a questo momento, infatti, è stato semplice per le aziende “raggirare” i sistemi di protezione, ma dal prossimo Maggio tale meccanismo verrà arrestato grazie all'informativa che dovrà essere sottoposta agli interessati prima di raccogliere i loro dati e sulla quale si dovrà specificare le finalità del trattamento. È previsto inoltre che i soggetti, rilascianti i loro dati, possano esercitare il diritto al ritiro del consenso in qualsiasi momento.

Le persone hanno la possibilità di rettificare i propri dati personali o persino cancellarli, nel caso in cui la loro conservazione non sia conforme a quanto dichiarato. L'interessato può richiedere la cancellazione dei dati che lo riguardano, soprattutto nel caso in cui questi non siano più necessari ai fini per cui erano stati raccolti.

La richiesta di cancellazione è particolarmente tutelata se un soggetto abbia dato il consenso al trattamento dei suoi dati quando ancora era minorenne e perciò non pienamente consapevole dei rischi che ne sarebbero potuti derivare.

È stato previsto anche il diritto di rifiutare la profilazione delle attività di marketing, se questa comporta per il soggetto interessato importanti conseguenze giuridiche.

La GDPR intensifica il diritto degli individui di richiedere l'accesso ai loro dati. Nella maggior parte dei casi, le aziende non potranno negare tale richiesta, a meno che non riescano a dimostrare che il costo per tale operazione sia eccessivo. Inoltre il periodo per processare una richiesta decade superati i 40 giorni dal momento in cui questa è stata avanzata.

Le aziende possono rifiutarsi di garantire un accesso, quando la richiesta che si manifesta non è sostenuta da valide ragioni o è eccessiva. Tuttavia, le organizzazioni necessiteranno di elaborare delle chiare policy di rifiuto.

I soggetti hanno diritto di richiedere una copia dei loro dati in un formato di uso comune, leggibile da qualsiasi dispositivo, e di trasmettere tali dati a un altro titolare senza nessun impedimento. Ciò garantisce il trasferimento dei propri dati da un servizio online all'altro e permette, oltre a un maggior controllo su di essi, anche una maggiore concorrenza tra le aziende.

Gli adempimenti del titolare del trattamento

Come titolare del trattamento dei dati è da intendersi la persona fisica, giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione od organismo cui competono, anche unitamente a uno o più altri contitolari, le decisioni su finalità, strumenti, sicurezza e modalità del trattamento dei dati personali.

La tenuta di questo registro è obbligatoria per le aziende che hanno al loro interno più di 250 dipendenti, ma è comunque raccomandabile tenerlo anche per le imprese più piccole. All'interno di tale documento si deve specificare la tipologia e la quantità di trattamenti che vengono effettuati all'interno di un preciso database, la loro qualità e la categoria di soggetti che trattano.

Così, ogni volta che vi è un cambiamento nel trattamento dei dati, il Registro dovrà essere aggiornato.

Adottare un approccio by Design significa pensare fin dal primo momento della progettazione, non solo ai requisiti normativi, ma anche a quelli tecnologici e disegnare qualcosa di inscalfibile dal punto di vista della gestione della privacy.  

In altri termini bisognerà progettare una soluzione tecnologica pensando al tema della protezione fin dai primi step riguardanti l'informativa e arrivando fino alle fasi finali, quali l'utilizzo o l'eventuale eliminazione di dati.

A differenza, il principio di Privacy by Default riguarda tutti quei meccanismi di programmazione che garantiscono, di default appunto, che i dati personali non siano accessibili a un numero indefinito di persone e che i diretti interessati abbiano il diretto controllo sulla distribuzione dei propri dati. In quest'ultimo caso bisognerà coinvolgere l'ufficio legale, il responsabile della privacy per la progettazione di nuove piattaforme e il dipartimento IT.   

Riassumendo, possiamo affermare che entrambi sono dei nuovi principi, frutto dell'evoluzione tecnologica, soltanto che l'approccio by Design pone le sue radici nell'innovazione tecnologica riguardo le comunicazioni informative elettroniche (evoluzione della tradizionale PET), mentre l'approccio by Default prevede che nelle impostazioni di programmazione siano rispettati i principi generali di protezione.


Il responsabile deve stabilire determinate misure che avranno la finalità di dimostrare che i dati sono stati raccolti e trattati secondo quanto previsto dal Regolamento. In altre parole, questo principio si basa sulla dimostrabilità di aver rispettato tutti i requisiti normativi.

Secondo il nuovo Regolamento, perciò, non sarà più necessario soltanto raccogliere il consenso da parte degli interessati, ma sarà obbligatorio anche essere in grado di dimostrare che sono state date tutte le necessarie informazioni e adottate tutte le misure obbligatorie.

Il titolare del trattamento dati è tenuto a comunicare all'Autorità Nazionale di Protezione dei dati eventuali violazioni che possano mettere a rischio i diritti degli individui.

Deve ottemperare a tale obbligo entro le 72 ore successive al momento in cui sia venuto a conoscenza della violazione; nel caso in cui sorgano dei rischi per gli interessati riguardo i loro diritti e le loro libertà, dovrà informare anch'essi.


Le principali figure coinvolte

Oltre al titolare del trattamento dei dati, sono coinvolti determinati soggetti che garantiscano e tutelino la sicurezza dei dati.

Il nuovo Regolamento prevede che venga identificata un "responsabile del trattamento", interno o esterno all'azienda, in grado di fornire garanzie che assicurino il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti degli interessati.

Si tratta quindi di quel soggetto al quale viene affidato, da parte del titolare, il trattamento dei dati personali.

Il “Data Protection Officer” rappresenta un nuovo soggetto responsabile della protezione dati, cioè colui che offre la propria consulenza specialistica e viene individuato per supportare le aziende ad affrontare questo cambiamento epocale.

Il nuovo soggetto può essere interno o esterno ad un'azienda, verifica gli adempimenti normativi, si occupa della formazione del personale e della messa a punto dei sistemi per il trattamento automatizzato nel rispetto dei principi suddetti di Privacy by Design e by Default.

Il DPO non è una figura obbligatoria (se non per le Pubbliche Amministrazioni), ma si rende necessaria dal momento in cui la gestione coinvolge un numero elevato di soggetti.


Per il codice della privacy, l'incaricato del trattamento è la persona fisica autorizzata a compiere le operazioni di trattamento dal titolare o dal responsabile.

Stiamo parlando di una figura prettamente operativa (es. programmatore, impiegato) che, sotto l'autorità diretta del titolare e del responsabile e dietro loro autorizzazione, effettua manualmente tutte le operazioni di trattamento sui dati personali.

L'amministratore di sistema ha un notevole impatto di responsabilità sui dati aziendali: è colui che si occupa infatti dell'architettura informatica aziendale e, soprattutto, dell’uso e della condivisione di grandi quantità di dati tramite le reti di comunicazione.

È quindi a questa figura che spetta mettere in atto tutte le misure tecniche necessarie a garantire un livello di sicurezza adeguato al rischio. Possiamo definirlo una sorta di garante della sicurezza.

Informativa

Fatte salve alcune eccezioni, chi intende effettuare un trattamento di dati personali ha prima l'obbligo di fornire all'interessato alcune specifiche informazioni al fine di metterlo nelle condizioni di esercitare i propri diritti. L'informativa, in particolare, deve indicare i contatti del DPO (se presente), la base giuridica del trattamento, se i dati sono trasferiti in Paesi terzi, il periodo di conservazione dei dati (o i criteri seguiti per stabilire tale periodo), il diritto di presentare un reclamo all'autorità di controllo, se il trattamento comporta automazione nei processi decisionali. Il consenso deve sempre essere libero, informato, specifico e inequivocabile. Il consenso tacito o presunto non è ammesso.

Nuove sanzioni

Se nella gestione dei dati non saranno rispettati i principi previsti, le nuove sanzioni saranno più severe delle attuali.

Nel caso in cui si commetta una prima mancanza non intenzionale, verrà ricevuta un'ammonizione scritta e seguiranno accertamenti periodici regolari.

ATTENZIONE! Nel caso di inadempimenti e trasgressioni più gravi, la sanzione sarà invece costituita da una multa compresa tra il 2% e il 4% del fatturato globale annuo o fino a 20 milioni di euro per ogni infrazione; tale sanzione può addirittura prevedere la sospensione dell'attività.

Come muoversi?

Per chi si affida a soggetti terzi nella gestione della Lead Generation e Data Management, può essere utile comprendere come i provider si stiano preparando al nuovo Regolamento GDPR, in special modo per quanto riguarda le implicazioni lato commerciale / marketing: di un lead solitamente non si hanno dati sensibili, a differenza invece -ad esempio- di quanto si conosce dei propri dipendenti.

Al riguardo, HubSpot, la cui piattaforma idi Inbound Marketing integrata consente di gestire le attività di digital marketing e vendita, passando per il CRM, ha già intrapreso tutte le azioni necessarie a rendere i suoi prodotti (e i suoi utilizzatori) conformi alla normativa in arrivo.

GDPR: la sicurezza al primo posto!

I numeri del gruppo Extra

people

80

persone

assignment_turned_in

97

certificazioni

thumb_up

5611

follower

directions_run

45192

ore di ping pong all'anno

*Certificazioni in Hubspot, Openbravo, Pentaho, Red Hat, ISIPM, PRINCE2, ITIL, SCRUM