Gdpr in vigore da oggi ecco le nuove normative
Gdpr in vigore da oggi ecco le nuove normative Il regolamento
n. 2016/679 fa parte del cosiddetto “Pacchetto protezione dati”
(La repubblica)IL Gdpr è il General data protection regulation
il nuovo regolamento europeo in materia di protezione dei dati personali
che diventerà operativo dal 25 maggio
Tuttavia, Il regolamento n. 2016/679 fa parte del cosiddetto
“Pacchetto protezione dati” dell’Ue e introduce una serie di nuova
garanzie per i cittadini europei o ne rafforza di già previste
riordinando i precedenti provvedimenti in materia di privacy.
Proprio come accaduto in Italia. Ma a chi si applica, cosa prevede, quali sono le novità?
Eccole spiegate per punti
A chi si applica il Gdpr
Riguarda persone, società e organizzazioni che raccolgono e gestiscono qualsiasi tipo
di dato personale in Europa.
Anche se non è necessario che quel trattamento avvenga proprio nel perimetro dei 28.
Si va da quelli per l’organizzazione interna delle risorse umane a quelle che, invece
coi dati ci fanno affari, come il caleidoscopico universo del marketing.
Inclusi, ovviamente, i colossi (quasi del tutto) statunitensi dell’hi-tech
da Facebook a Google, che infatti nelle ultime settimane hanno adeguato le proprie
condizioni d’uso e le politiche per la privacy secondo le indicazioni dei 99 articoli
del regolamento.
Gdpr in vigore da oggi ecco le nuove normative
Gdpr in vigore da oggi ecco le nuove normative
Consenso
Col Gdpr diventa tutto più chiaro ed esplicito in alcune aree specifiche: dati, consenso
responsabilità, sicurezza, controlli e sanzioni.
Il consenso alla raccolta e al trattamento da parte degli utenti dev’essere per esempio
fornito in forma chiara, con un atto positivo inequivocabile.
Sì a una casella da spuntare, no a caselle precompilate, silenzio assenso o altri meccanismi
per così dire poco proattivi.
L’autorizzazione dovrebbe anche essere spacchettata, cioè richiesta per ogni elaborazione
che su quelle informazioni sarà effettuata.
Gdpr in vigore da oggi ecco le nuove normative
Accesso
I dati devono essere accessibili. Questa novità è molto chiara dalle modifiche delle
piattaforme di questi ultimi giorni.
Oltre all’accesso se ne può chiedere la rettifica o la cancellazione nonché
l’approfondimento delle informative sulle finalità e sulle tecniche di profilazione
sempre garantendo altri diritti come la proprietà intellettuale e il segreto industriale.
Gdpr in vigore da oggi ecco le nuove normative
Portabilità
Il Gdpr consente, all’art. 20, al soggetto di riutilizzare i propri dati, oggetto di trattamento
da parte di un titolare, per altri scopi o su altre piattaforme.
Insomma, di portarseli dietro, magari da una piattaforma di foto a un’altra.
Questi dati devono essere forniti in formato strutturato e di uso comune, leggibile da
dispositivi automatici e soprattutto interoperabile, cioè in grado di poter essere
memorizzato su un dispositivo personale ed eventualmente traslocati altrove.
Anche sui social. In futuro dovrebbe ad esempio esser possibile trasferire i dati da un
servizio come Instagram ad uno come Snapchat o da Dezeer a Spotify.
Gdpr in vigore da oggi ecco le nuove normative
La notifica
Ogni violazione dei dati dev’essere notificata con una serie di informazioni specifiche
agli interessati entro 72 ore, dice l’art. 33 del regolamento
(cosa che per esempio Facebook non ha fatto nel caso Cambridge Analytica)
viene istituito un registro delle attività nel quale vengano registrati nome e dati di contatto
del titolare del trattamento, le finalità, le categorie di interessati e di dati raccolti
i trasferimenti di quegli stessi dati verso Paesi terzi o altre organizzazioni, i termini per la
cancellazione e una sintesi delle misure di sicurezza adottate.
La sicurezza
Le norme basilari vanno dalla pseudonimizzazione e la cifratura dei dati memorizzati
a una serie di altre categorie come riservatezza, integrità, disponibilità e resilienza
dei sistemi e dei servizi di trattamento.
Come si diceva, il trasferimento a Paesi terzi è consentito solo nel caso in cui vi sia
continuità per quanto riguarda questo genere di condizioni.
Gdpr in vigore da oggi ecco le nuove normative
Il regolamento istituisce la figura del Data protection officer. Si tratta di una figura distinta
dal titolare che deve garantire la messa in pratica (“accountability”) delle diverse norme
previste. In questo quadro rientra la valutazione d’impatto della protezione dei dati
e appunto l’istituzione del Dpo, sorta di “watchdog” del titolare.
Una verifica interna, ovviamente, perché ogni Paese dovrà assegnare il controllo alle
autorità nominate dal Parlamento, dall’esecutivo o da un organismo indipendente
in gran parte già esistenti, come il Garante per la protezione dei dati personali italiano.
Spazio anche a una cooperazione fra autorità nazionali in seno al Comitato Europeo
che molto ha lavorato in questi due anni di transizione.
I minori
L’art. 8 del regolamento prevede che per offrire servizi ai minori di 16 anni sia necessaria
un’autorizzazione da parte dei genitori o di un tutore.
Anche sotto questo profilo si sono visti molti (e spesso inutili) movimenti da parte delle
piattaforme digitali.
I Paesi potranno con dispositivi specifici modulare questa soglia senza poterla
comunque portare al di sotto dei 13 anni.
Gdpr in vigore da oggi ecco le nuove normative
Le sanzioni
Le autorità di controllo possono condurre indagini, ottenere l’accesso alle informazioni
e imporre limitazioni al trattamento, così come vietarlo o imporre alcune azioni
tipo la cancellazione. Si inaspriscono le sanzioni amministrative pecuniarie:
Gdpr in vigore da oggi ecco le nuove normative le multe possono arrivare fino a 10 milioni
di euro o 2% del volume d’affari globale in casi – sono solo due esempi – come la
violazione delle condizioni applicabili al consenso dei minori in relazione ai servizi
della società dell’informazione o alla mancata o errata notificazione e/o
comunicazione di un data breach all’autorità nazionale competente.
Oppure fino a 20 e 4% del fatturato in altre situazioni, come l’inosservanza di un ordine
imposto da un’autorità o il trasferimento illecito di dati personali ad un destinatario
in un Paese terzo.
Rimangono dei margini interpretativi a disposizione delle singole autorità nazionali
per stabilire l’entità e la gravità delle violazioni.