Questo articolo fa parte di una serie di approfondimenti sul GDPR. Per saperne di più, consulta tutte le News sul GDPR oppure contattaci.
Ormai ci siamo: venerdì prossimo sarà il 25 maggio 2018.
Tra una settimana esatta, il Regolamento Generale sulla Protezione dei Dati (RGDP, o anche GDPR) diventerà del tutto efficace.
È stato un lungo percorso, partito il 25 maggio 2016, ma che non terminerà tra una settimana: l'impegno per la protezione dei dati personali che le aziende hanno nei confronti dei cittadini europei varrà per sempre, come per termini di legge.
Ad oggi, molte aziende stanno ancora cercando di orientarsi tra definizioni, concetti e azioni da attuare per essere in regola.
Vediamo quindi le dieci cose più importanti sul GDPR che tutte le aziende che hanno un sito internet, un profilo social o una newsletter devono ricordare.
1) Consapevolezza e Preparazione
In primo luogo, le aziende devono rendere consapevoli tutti i membri dell'organizzazione (titolari, dirigenti, dipendenti, ...) l'importanza del GDPR, evidenziando che la protezione dei dati personali, intesa come principio e non solo come dovere, possa essere conseguita solamente se ciascun membro dell'azienda prende sul serio il suo ruolo nel trattare i dati personali a cui accede, e nell'identificare potenziali violazioni dei dati personali quanto prima possibile.
Esempio di comportamento da non seguire? Stampare liste cartacee di nomi da consegnare alla rete commerciale, affinché la portino a casa propria per analizzarla nel corso del weekend.
2) Limitazione del Trattamento, Dati Personali e Conservazione
Il GDPR impone di trattare solo dati personali di cui hanno ottenuto il consenso informato (v. sotto), e -in particolare- di trattare solo quei dati necessari per compiere predeterminati fini legittimi, nonché di interrompere il trattamento dei dati una volta che i dati hanno esaurito il loro scopo. Questo si traduce nei seguenti requisiti per le aziende:
- impedire il trattamento dei dati personali per fini diversi da quelli, legittimi, per cui sono stati raccolti previo consenso informato
- impedire la raccolta di dati personali non necessari per i fini per i quali si richiede il consenso informato
- assicurarsi che i dati siano cancellati (o, qualora sotto certe condizioni non siano cancellabili, non siano più processati) quando non non più processati.
Nella pratica: non serve chiedere dati quali numero di telefono o codice fiscale per l'iscrizione a una newsletter.
3) Diritti dei Titolari dei Dati
I proprietari dei dati personali (ossia, le persone) hanno il diritto di chiedere alle aziende se è in corso un trattamento dei dati personali, di quali dati personali sono in possesso, e come questi vengono trattati (e da chi). Inoltre, tra gli altri diritti, hanno anche il diritto all'aggiornamento, alla rettifica, all'opposizione al trattamento, di eventuali errori, oltre che alla cancellazione (ove possibile, altrimenti all'esclusione dal trattamento).
Tutte le richieste devono essere esaudite senza ingiustificato ritardo. Vale la pena notare che il GDPR tutela anche le aziende da eventuali richieste immotivate, troppo frequenti, che richiedano uno sforzo sproporzionato, o che mettano l'azienda in difetto di legge.
4) Consenso Informato
Quando un'azienda vuole trattare dei dati personali, deve prima raccogliere il consenso informato da parte del proprietario dei gli stessi.
Prima della raccolta del consenso, la persona deve essere informata con chiarezza prima che il trattamento abbia luogo, di quali dati saranno oggetto del trattamento, e in cosa consiste il trattamento. Dovrà inoltre essere informata di quali soggetti saranno coinvolti nel trattamento, di quanto tempo durerà il trattamento (e la conservazione dei dati), e delle possibilità e modalità di esercitare i propri diritti.
Il consenso dovrà essere raccolto in maniera esplicita e inequivocabile, con una cosiddetta "azione positiva" da parte della persona. Allo stesso modo, le modalità di revoca del consenso dovrà essere semplice ed efficace senza ingiustificato ritardo.
5) Violazioni dei Dati Personali
Le aziende e le organizzazioni sono responsabili di eventuali violazioni dei dati personali trattati, sia a seguito di attacchi informatici, che di errori di software o umani (es. viene rubato un PC che conteneva, inopportunamente, dati personali non criptati).
A seconda della gravità della violazione, avrà 72 ore di tempo per informare il Garante della Privacy dell'avvenuta violazione.
Questo articolo è diviso in due parti. Torna a trovarci lunedì 21 maggio per leggere la seconda parte.