riceviamo e volentieri pubblichiamo, ringraziando l'Onorevole EuroParlamentare Patrizia Toia per il suo operato "Care e cari tutti,
vi scrivo per informarvi di un’importante novità che arriva dall’Europa e di cui probabilmente avrete già sentito parlare.
Si tratta del nuovo Regolamento Europeo sulla Privacy o GDPR (General Data Protection Regulation) che in Italia abrogherà la direttiva 95/46/CE e andrà a sostituire il Codice Privacy e verrà applicato direttamente in tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale occorrerà, da parte di aziende e possessori di dati, adeguarsi alla nuova normativa.
Si tratta di una piccola rivoluzione nel mondo della privacy, attesa ormai da diversi anni viste le importanti novità (e a volte anche scandali, si pensi alle ultime notizie in merito a Facebook) introdotte dalla tecnologia, internet e i social network su tutto, e il cui percorso è stato in continua salita, essendoci in gioco interessi economici consistenti, legati soprattutto alle attività di marketing e di profilazione oltre che i rapporti tra Europa e resto del mondo (con Stati uniti, Canada e Cina principali interlocutori interessati).
Tra i punti cardine, di grande interesse per i cittadini, ci sono il diritto all’oblio e alla portabilità dei dati, le notifiche di violazione agli utenti e alle autorità nazionali, le modalità di accesso ai propri dati personali semplificate e la possibilità per le imprese di rivolgersi a un’unica autorità di vigilanza.
I dati presenti nella rete sono in continuo aumento e le connessioni tra i diversi Paesi del mondo sempre più fitte, per questo è stata anche regolamentata la diffusione di dati personali all’esterno dell’Unione Europea.
I dati su internet saranno inoltre maggiormente protetti con alcune restrizioni sui meccanismi di “profiling” e viene introdotto l’obbligo di utilizzare un linguaggio chiaro nelle regole relative alla privacy.
Chi fornisce servizi internet, infine, avrà bisogno di un consenso esplicito prima di utilizzare i dati personali dei clienti.
Per le piccole e medie imprese ci sono altre novità importanti e non solo obblighi, come i tagli ai costi e burocrazia più snella, che favoriscano lo sviluppo economico e del mercato digitale.
Le nuove norme non riguardano solo le imprese, ma chiunque possegga dei dati (ad esempio le mail per l’invio di una newsletter informativa).
Qui trovate una guida utile, prodotta dall’autorità garante per la protezione dei dati, per capire come muovervi e se siete tra i soggetti interessati: Guida all'applicazione del regolamento europeo in materia di protezione dei dati personali
Qui sotto invece un’utile prospetto, predisposto da mondo privacy, utile alle imprese per capire in cosa il regolamento modifica le norme:QUALI SONO GLI IMPATTI PRINCIPALI SULLE IMPRESE? 1 – INDIVIDUAZIONE DEI SOGGETTI A CUI SI APPLICA IL REGOLAMENTO Prima = la normativa era applicabile nel luogo in cui aveva sede il Titolare del trattamento dei dati. Con il Nuovo Regolamento Europeo = la legge applicabile è quella del soggetto i cui dati vengono raccolti. Social network, piattaforme web e motori di ricerca saranno quindi soggetti alla normativa europea anche se sono gestiti da società con sede fuori dall’UE. Con il nuovo regolamento viene abolita la figura del Titolare del Trattamento Dati e rimane solo la figura di Responsabile 2 – DOVERE DI DOCUMENTAZIONE E INFORMAZIONE Prima = la documentazione era importante. Con il Nuovo Regolamento Europeo = principio dell’accountability ( 3 – L’INFORMATIVA PRIVACY Prima = l’informativa era spesso lunga, incomprensibile e con richiami normativi complessi. Con il Nuovo Regolamento Europeo = l’informativa deve essere leggibile, comunicativa, accessibile, concisa e scritta con linguaggio chiaro e semplice con un numero limitato di riferimenti normativi. Deve essere fornita per iscritto (oralmente va bene SOLO se l’interessato è d’accordo e la sua identità deve comunque essere comprovata con altri mezzi). Si propone anche l’utilizzo di icone per rendere l’informativa leggibile anche da parte di chi non conosce la lingua. 4 – CAMBIA IL CONSENSO Prima = il consenso doveva essere libero, specifico e informato. Ci doveva essere un atto formale per accettare il trattamento dei dati. Con il Nuovo Regolamento Europeo = il consenso deve essere libero, specifico, informato e inequivocabile. Il consenso è valido se la volontà è espressa in modo NON equivoco, anche con un’azione positiva: non ci deve essere per forza la casella di spunta, basta un testo in cui si informa che proseguendo si accetta il trattamento dati con link all’informativa. 5 – VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI Prima = si preparava il DPS. Con il Nuovo Regolamento Europeo = si effettua una valutazione degli impatti privacy analizzando i rischi, definendo i gap rispetto alla corretta gestione dei rischi, stabilendo un piano per colmarli e controllando annualmente gli effetti degli interventi per ridurre i rischi. Quasi sicuramente il nuovo documento sarà chiamato PIA: Privacy Impact Assessment. 6 – ABOLIZIONE DELLA NOTIFICAZIONE Prima = si doveva informare il Garante che un soggetto sta trattando dati per una particolare finalità. (ex art. 37 D.lgs. 196/2003)Con il Nuovo Regolamento Europeo = non si dovrà più notificare il Garante, ma ogni anno l’azienda dovrà redigere il privacy impact assessment, con il quale si considera effettuata la notifica. 7 – IL DATA PROTECTION OFFICER Prima = il DPO non era una figura contemplata. Con il Nuovo Regolamento Europeo = bisogna istituire (per tutti gli enti pubblici e per aziende il cui core business coinvolge trattamenti di natura rischiosa) un responsabile per la protezione dei dati. Il DPO sarà una figura manageriale con rinnovo periodico, sarà referente del Garante e dovrà avere requisiti e competenze elevate. Il DPO potrà essere sia un dipendente che un collaboratore con regolare contratto. 8 – PRIVACY BY DESIGN E PRIVACY BY DEFAULT Prima = la privacy era un elemento conclusivo e finale. Con il Nuovo Regolamento Europeo = la privacy deve essere vista come un elemento iniziale: devo pensarci appena decido di raccogliere dati e predisporre alti livelli di privacy nel trattamento dati, che potranno essere abbassati dal diretto interessato. 9 – OBBLIGO DI SEGNALAZIONE IN CASO DI VIOLAZIONE DEI DATI Prima = non era necessario comunicare violazioni nel trattamento dati. Con il Nuovo Regolamento Europeo = nel caso di violazione del trattamento dati bisogna effettuare una segnalazione al Garante entro 72 ore dall’evento e, nel più breve tempo possibile, bisogna informare anche i diretti interessati. Il mancato rispetto di quest’obbligo comporta sanzioni penali. È possibile prevedere delle assicurazioni per coprire il costo di comunicare la violazione a tutti gli interessati, definito Data Breach. 10 – RICONOSCIMENTO DI NUOVI DIRITTI Prima = pochi diritti che tutelavano l’interessato in merito alla gestione dei suoi dati. Con il Nuovo Regolamento Europeo = nuovi diritti: diritto alla portabilità dei dati (posso pretendere che il soggetto a cui ho concesso l’uso dei miei dati me li restituisca su un supporto elettronico strutturato così che io possa farne ulteriore uso, anche presso un altro fornitore), diritto a essere totalmente dimenticato da chi ha raccolto i miei dati. L’ Unione europea ora sta affrontando altri temi cruciali: dalla responsabilità delle piattaforme rispetto anche ai contenuti, al tema delle fake news e della necessità di impedire che la manipolazione dei dati arrivi ad alterare la democrazia E più in generale stiamo assumendo decisioni sulla tassazione del web. Perciò su questi temi ritorneremo. Sono ovviamente a disposizione per ogni chiarimento o approfondimento. Un cordiale saluto, Patrizia Toia" |
Nessun commento:
Posta un commento