GDPR e privacy policy
18-12-2022 14:38 Informatica e telecomunicazioni

GDPR e privacy policy

GDPR: general data protection regulation, noto anche come regolamento sulla protezione dei dati: cosa cambia? Cambia davvero qualcosa? Momento di crisi, panico, misure inutili oppure, in realtà, solo disinformazione?

Il titolare del trattamento deve garantire e mettere in atto tutte quelle misure adeguate (tecniche ed organizzative) per garantire il massimo della tutela dei dati trattati e che questa tutela sia attuata come impostazione predefinita.

Oggi, 25 maggio 2018, diventa attuativo il nuovo regolamento europeo per la protezione dei dati.

Il General Data Protection Regulation, noto ai più come GDPR, è l’ultimo regolamento (almeno ad oggi) che definisce nuovi step e passaggi, anche attenzioni, quando si trattano dati personali e c.d. particolari. Non impatta solo ed esclusivamente sulle informative oggi note ai più ma riguarderà qualsiasi tipologia di trattamento del dato personale o particolare a prescidendere dal mezzo utilizzato per trattarlo e strumento al quale si ricorre per trattarlo ed “organizzarlo”.

Chi si troverà obbligatoriamente proiettato all’interno di questo calderone?

Quelli e quelle aziende che trattano dati personali e/o così detti particolari (prima noti come sensibili).

Ok, ma in sostanza? Chi?

A livello pratico, tutte le aziende e tutte le attività! Nessuna esclusa! Nessuna esclusa per il semplice ed oggettivo motivo che, in un modo o nell’altro, tutte queste tipologie trattano almeno un dato personale! Il regolamento, infatti, è nato per tutelare maggiormente i dati dei cittadini, utenti del web e non solo e quelle realtà che non vorranno rendersi compliance oppure decideranno di trascurare questo aspetto saranno colpite con pesanti, molto pesanti, sanzioni.

Che si tratti di un fruttivendolo, che si tratti di uno studio legale o medico, che si tratti di un libero professionista, di una struttura turistica, di un parco giochi, di una azienda nel settore sanitario, di un commercialista o professionista della tecnologia o provider di servizi, di uno sviluppatore e, per rimanere nell’onda dei più allarmati, di un webmaster… tutti dovranno adeguarsi al nuovo GDPR!

Le sanzioni per la violazione di questo regolamento non sono certo trascurabili ma sicuramente proporzionate al danno che un data breach (termine tecnico utilizzato per definire una perdita di dati – non in senso stretto) può generare: potranno toccare il tetto dei 20 milioni di euro (non è un errore di scrittura) o il 4% del fatturato annuo globale (anche qui non è un errore di scrittura).

Cosa significa? Significa che basterà anche una sola sanzione di questo peso per destabilizzare fortemente, se non portare alla chiusura, quelle attività che non vorranno mettersi in regola.

Secondo una ricerca non molto vecchia, ad oggi oltre il 60% delle aziende italiane non si sono ancora dedicate all’analisi di questa nuova regolamentazione. Molte aziende non sono nemmeno consapevoli della sua esistenza nonostante la miriade di informazioni che, anche tramite i sociali, transitano nei vari dispositivi di accesso usati dai più.

Ma quali sono le reali novità?

La prima novità, oggettivo cambiamento: maggiore trasparenza nelle informative. Non si è più obbligati a dover ricorrere al “legalese” – si passi il termine – anzi! Il regolamento richiede che le informative siano facilmente comprensibili anche da chi a digiuno o totalmente estraneo alla giurisprudenza, ad esempio, e tutte quelle materie che, indirettamente, si associano ad una informativa.

La seconda novità molto interessante riguarda la tipologia del consenso: questo dovrà essere volontario e liberoIl regolamento non accetta consensi presunti e/o sottintesi, obbligati se non evidentemente motivati e giustificati e “raggruppati”. Ciò implica che il consenso deve essere richiesto per la sola attività per cui lo stesso consenso viene richiesto e non presunto per tutte le attività che riguardano l’azienda e quindi il Titolare del trattamento.

Un esempio diretto riguardante il web ed i siti web: non sarà più accettato il ricorrere a quelle frasi (quindi tecniche di recupero del consenso) dove si legge e leggeva “scorrendo questa pagina, continuando la navigazione … accetti l’informativa”. Questo è un trattamento e consenso presunto a tutti gli effetti che non garantisce né può dimostrare, oggettivamente, che l’interessato abbia effettivamente e volontariamente prestato il suo consenso. L’unica attività svolta è, magari, aver cliccato un’altra pagina oppure chiuso un pop-up o banner o, ancora, ha semplicemente scorso la pagina perché unicamente interessato a capire se quel contenuto è di suo interesse o meno.

Un altro esempio diretto, più generico: l’acquisto di un prodotto, l’invio di una richiesta di contatto non presume che l’interessato voglia ricevere altre comunicazioni (magari pubblicità) da parte della stessa azienda o, peggio, da parte di terzi dietro trasmissione e divulgazione dei suoi dati. L’interessato esprime consenso per la sola volontà di acquistare il prodotto o richiedere quello specifico servizio di contatto.

Ogni finalità non direttamente collegata alla principale, dovrà essere accompagnata da separato e dimostrabile consenso ricevuto.

Altre novità introdotte con il GDPR: portabilità dei datidiritto all’oblio e le nuove figure introdotte (ad esempio il DPO o Data Protection Officer) obbligatorie in base alla tipologia della attività di trattamento svolta.

Troviamo, inoltre, due nuovi concetti: privacy by design e privacy by default! Anche questi molto importanti e, ancora oggi, evidentemente trascurati.

Ma domandiamoci: riguarda solo chi tratta dati personali e/o c.d. particolari? In realtà no! Il regolamento dovrebbe riguardare anche il cittadino ultimo che troverà i suoi dati trattati da uno o più titolari che sarà maggiormente consapevole su ciò che il Titolare porrà in essere trattando i suoi dati e, quindi, cosa sarà a lui concesso e cosa no.

Precedente Successivo
Carrello Chiudi
  • Nessun prodotto nel carrello

Customer Care Live Support (Lo Staff è impegnato)