Si chiama GDPR (General Data Protection Regulation) e segna il prossimo importante adeguamento in termini di compliance per tutte le aziende europee, indipendentemente dalle loro dimensioni.
\nIl nuovo regolamento europeo rivoluziona il trattamento dei dati personali e la tutela della privacy in ambito professionale. Le aziende sono chiamate ad adottarne le direttive entro il 25 maggio 2018.
\nQuesto significa, in tempi ormai davvero brevi, consolidare le misure per la tutela della privacy seguendo i dettami del GDPR, rispondendo al contempo ad un\u2019esigenza di protezione e sicurezza dei dati sentita a livello globale e legata a doppio nodo all\u2019emergere di minacce informatiche sempre pi\u00f9 complesse.
\nIl nuovo Regolamento si propone di restituire ai cittadini europei il pieno controllo sui propri dati personali, un diritto spesso ostacolato da legislazioni nazionali differenti e da scenari tecnologici che a volte sfuggono all\u2019attuale normativa. Per questo, adottare regole uniformi diventa l\u2019unica strada percorribile. Ecco perch\u00e9 tutte le aziende sono chiamate ad adeguarsi, dimostrando di operare in conformit\u00e0 a quanto previsto dal GDPR.
\nL\u2019obbligo di osservanza delle direttive \u00e8 imposto anche alle imprese con sede legale al di fuori del territorio europeo ma che, nella loro attivit\u00e0, si trovano a gestire o trattare dati personali di chi risiede nello spazio UE.
\nConformit\u00e0 al GDPR: cosa fare?
\nInnanzitutto, il regolamento prevede che ogni azienda nomini un Responsabile della Protezione dei Dati (RPD) \u2013 nel Regolamento indicato come Data Protection Officer (DPO) – adeguatamente formato per assolvere al compito nel migliore dei modi e a cui spetta l\u2019incarico di fornire informazioni relative alla propria attivit\u00e0 ai diretti interessati, siano essi i collaboratori della societ\u00e0, i fornitori oppure i clienti.
\nIl presupposto di base per un trattamento dei dati personali a norma di legge, infatti, \u00e8 che l\u2019azienda-titolare del trattamento ne abbia ottenuto il consenso libero, specifico ed informato. Ecco perch\u00e9 il GDPR detta specifiche linee guida al fine di garantire questo fondamentale passaggio, dettagliando quali tipologie di informazioni minime \u00e8 necessario offrire al soggetto al fine di ottenere il suo consenso al trattamento.
\nDivise in sei categorie, si tratta di:
\n–\tidentit\u00e0 del titolare;
\n–\tscopo delle operazioni di trattamento per le quali \u00e8 richiesto il consenso;
\n–\ttipo di dati raccolti e trattati;
\n–\tesistenza del diritto di revoca del consenso;
\n–\tuso dei dati per le decisioni basate su elaborazione automatica (inclusa profilazione);
\n–\tnel caso di trasferimento verso paesi terzi, possibili rischi in assenza di garanzie e scelte appropriate.
\n\u00c8 poi necessario procedere alla tutela dei dati mediante impiego di crittografia, cos\u00ec da renderli non fruibili a soggetti non autorizzati. Bisogna inoltre garantire che, in seguito a un eventuale problema di natura fisica o tecnica, l\u2019accesso alle informazioni venga ristabilito in modo tempestivo.
\nPer essere compliant, quindi, si devono rispettare procedure standard di protezione (pseudo- nimizzazione e cifratura dati) e prevedere assessment delle misure tecniche e organizzative adottate, che dimostrino la capacit\u00e0 di assicurare riservatezza, integrit\u00e0, disponibilit\u00e0, resilienza dei sistemi e dei servizi di trattamento, nonch\u00e9 ripristino tempestivo della disponibilit\u00e0 e dell\u2019accesso dei dati personali in caso di incidente fisico o tecnico.
\nIl GDPR introduce infatti il principio di accountability per tutte le fasi del trattamento. Questo significa adottare soluzioni e strumenti che garantiscano non soltanto la protezione del dato ma anche il controllo, la verifica e l\u2019analisi delle procedure.
\nNel caso di una fuga di dati, che si pu\u00f2 verificare tramite manomissione, attacco esterno o in modo accidentale, \u00e8 poi obbligatorio darne avviso tempestivo (entro 72 ore dall\u2019identificazione del problema) all\u2019autorit\u00e0 garante. Eventuali ritardi andranno giustificati.
\nPer le realt\u00e0 professionali che contano pi\u00f9 di 250 dipendenti vige infine l\u2019obbligo di redigere un registro delle attivit\u00e0 con i dettagli sulle policy aziendali attuate in materia di privacy, sulle procedure adottate e sugli standard di sicurezza vantati.
\nAl fine di assicurare la conformit\u00e0 a quanto previsto dal GDPR, nonostante i tempi ormai siano piuttosto stretti, i passi da compiere sono dunque molti ma imprescindibili. Oltre a contribuire nel centrare gli obiettivi del regolamento, infatti, si eviter\u00e0 di incappare in sanzioni che, per la mancata compliance, possono arrivare fino al 4% del fatturato.
\nIn ogni caso, \u00e8 bene non adottare soluzioni improvvisate e avvalersi di consulenti e partner IT preparati e certificati per stilare il piano d\u2019azione migliore e ottimizzare gli investimenti necessari.
\nPronti al GDPR: entro quando?
\nA partire dal 25 maggio 2018 il GDPR andr\u00e0 definitivamente a sostituire le precedenti direttive sulla protezione dei dati. Sar\u00e0 dunque scardinato e profondamente modificato uno scenario consolidato da anni, che \u2013 complice l\u2019evoluzione del mondo online \u2013 oggi risulta insufficiente nel rispondere alle nuove esigenze, non soltanto di privacy ma anche di cyber security.
\nPrivacy: obbligo DPO in azienda
\nCon il nuovo regolamento UE n. 2016\/679 sulla protezione dei dati nell\u2019Unione Europea, che dal 25 maggio 2018 potr\u00e0 essere applicabile in tutti gli Stati Membri, \u00e8 stata introdotta la figura del responsabile per la protezione dei dati, o Data Protection Officer (DPO).
\nIl suo scopo \u00e8 osservare, valutare e organizzare la gestione del trattamento di dati personali, nonch\u00e9 vigilare sulla loro protezione e sulla corretta applicazione del regolamento UE sulla privacy, ma anche delle norme nazionali sulla privacy, all\u2019interno dell\u2019azienda (pubblica o privata). Il DPO:
\n–\tPu\u00f2 essere contattato dal Garante Privacy e dai cittadini in merito al trattamento dei dati personali;
\n–\tDeve godere di indipendenza e inamovibilit\u00e0 nello svolgimento delle proprie attivit\u00e0 di indirizzo e controllo;
\n–\tHa conoscenza della normativa nazionale ed europea e della legislazione in materia di protezione dati;
\nIn caso di trattamenti non conformi al regolamento europeo, non \u00e8 personalmente responsabile, diversamente dal titolare e dal responsabile del trattamento (questi ultimi potranno per\u00f2 rifarsi sul DPO per inadempimento del contratto di servizio e chiedere i danni in caso di cattiva consulenza);
\nLa sua funzione pu\u00f2 essere svolta anche da un consulente od organizzazione esterni sulla base di un contratto di servizi.
\nLa nomina del DPO \u00e8 obbligatoria per gli enti pubblici e i soggetti privati che effettuano monitoraggio delle persone su larga scala oppure trattano dati sensibili su larga scala.
\nDiversamente, non sono obbligati a nominare il responsabile per la protezione dei dati, a titolo di esempio: gli avvocati, il singolo studio medico, le public companies nel settore dei servizi pubblici (energia, ambiente ecc.).
\nRegistri dei trattamenti
\nSi tratta, in sintesi, di un adempimento formale che fornisce una prima indicazione rispetto al fatto che il Titolare e il Responsabile operano in conformit\u00e0 al GDPR.
\nTra le indicazioni che il GDPR fornisce alle aziende troviamo le informazioni che i registri dovranno obbligatoriamente contenere, ovvero:
\n1.\tnome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
\n2.\tle finalit\u00e0 del trattamento;
\n3.\tuna descrizione delle categorie di interessati e delle categorie di dati personali;
\n4.\tle categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
\n5.\tove applicabile, i trasferimenti di dati personali verso un paese terzo o un\u2019organizzazione internazionale, compresa l\u2019identificazione del paese terzo o dell\u2019organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell\u2019articolo 49, la documentazione delle garanzie adeguate;
\n6.\tove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
\n7.\tove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all\u2019articolo 32, paragrafo 1.
\nTrattamento dati
\nDi grande rilevanza \u00e8 anche la nuova definizione di consenso che viene identificato in qualsiasi manifestazione di volont\u00e0 libera, specifica, informata e inequivocabile dell\u2019interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. Questi cambiamenti nelle definizioni andranno a influenzare tanti aspetti del business (da quelli commerciali a quelli pi\u00f9 strettamente connessi ai rapporti datore-dipendenti).
\nCompliance
\nLe imprese dovranno riesaminare la conformit\u00e0 del proprio business alla nuova normativa; garantire con maggiore attenzione il tracciamento (documenti interni, policy, ecc.) delle attivit\u00e0 di trattamento; quando necessario, identificare una persona idonea al ruolo di DPO garantendone risorse e indipendenza. Nell\u2019ottica della rivisitazione dei processi e dei progetti aziendali, le imprese dovranno quindi tener conto dei principi di privacy by design e default, ragionando in termini di compliance privacy fin dall\u2019inizio e per tutto il ciclo.
\nProfilazione
\nUn\u2019altra innovazione che incider\u00e0 in maniera trasversale sulle scelte delle imprese sar\u00e0 la disciplina dettata in materia di profilazione.
\nMarketing, sicurezza, monitoraggio dei clienti, analisi, controllo: presuppongono spesso un\u2019attivit\u00e0 di profilazione. Le imprese che se ne occupano, come core business o per processi aziendali, avranno l\u2019obbligo di fornire comunicazioni particolarmente precise e chiare agli interessati.
\nSicurezza
\nIl Regolamento innalza anche il livello della sicurezza, introducendo un generale obbligo di segnalare eventuali violazioni. Le imprese dovranno prevedere precisi processi, di difesa e di pronta comunicazione. Anche per i responsabili del trattamento, il Regolamento impone nuovi e rilevanti obblighi di conformit\u00e0, doveri e responsabilit\u00e0. La nuova disciplina coinvolger\u00e0 direttamente quelle aziende che lavorano come responsabili (i.e. gli outsourcers), ma pu\u00f2 anche interessare qualsiasi attivit\u00e0 commerciale che impegna un responsabile interno. Responsabili e titolari dovranno quindi rivedere gli esistenti contratti affinch\u00e9 risultino conformi ai dettami del Regolamento.
\nPrivacy su dati commerciali: Codice e diritto oblio
\nCon il \u201cCodice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale\u201d promosso dal Garante della Privacy viene ripristinato il diritto all\u2019oblio sulle informazioni commerciali negative memorizzate nei database dalle societ\u00e0 di due diligence.
\nTra le linee guida c\u2019\u00e8 anche l\u2019obbligo di rimozione dopo 10 anni delle notizie su ipoteche, pignoramenti, fallimenti o altre procedure concorsuali contenute nelle apposite banche dati gestite da alcune societ\u00e0 private, che forniscono tali informazioni a pagamento (basti pensare ai dati ai quali accedono le societ\u00e0 finanziarie nel momento in cui si chiede un mutuo o un prestito). Banche dati che contengono informazioni patrimoniali, economiche, finanziarie, creditizie, industriali e produttive che finora rimanevano memorizzate per un tempo indefinito, in palese violazione della privacy e del diritto all\u2019oblio.
\nIl limite dei 10 anni si applica a tutte le informazioni commerciali riferite a persone fisiche provenienti da elenchi e registri pubblici, elenchi e informazioni pubblicamente accessibili. Fanno eccezione i dati sensibili e i dati giudiziari, tranne quelli provenienti da fonti pubbliche o pubblicamente e generalmente accessibili da chiunque.
\nIl Codice deontologico legittima le societ\u00e0 di due diligence a utilizzare i dati ottenuti da fonti pubblicamente e generalmente accessibili quali le testate giornalistiche cartacee o digitali, gli elenchi telefonici, i pubblici registri, le sentenze, i provvedimenti giudiziali, gli elenchi, i documenti pubblicamente accessibili, i da siti web di enti pubblici o altre autorit\u00e0 di vigilanza e controllo. Questi dati possono essere trattati senza consenso degli interessati, nel rispetto di quanto previsto dal Codice Privacy. Possono inoltre essere utilizzati i dati personali che il soggetto stesso ha liberamente deciso di comunicare al fornitore di informazioni commerciali.
\nGli operatori sono inoltre obbligati:
\n–\tad annotare sempre la fonte da cui hanno tratto i dati personali sulla persona censita;
\n–\ta pubblicare un\u2019informativa completa almeno sul proprio sito web;
\n–\ta verificare la pertinenza dell\u2019informazione memorizzata, aggiornando periodicamente i propri archivi (ad esempio per verificare l\u2019intervenuta assoluzione di un soggetto indagato);
\n–\tadottare misure per garantire la sicurezza, l\u2019integrit\u00e0 e la riservatezza delle informazioni commerciali.
\nPrivacy UE, le nuove regole Marketing
\nNello svolgere (direttamente o per conto terzi) attivit\u00e0 di marketing, per l\u2019azienda permangono i principi fondamentali indicati dall\u2019Autorit\u00e0:
\n–\til consumatore deve essere sempre informato del trattamento dei dati personali;
\n–\tper utilizzare i dati personali di un individuo (recapiti, abitudini di consumo\u2026) per qualunque altra finalit\u00e0 serve il consenso;
\n–\tnel trattamento dei dati devono essere sempre rispettati i principi di finalit\u00e0, proporzionalit\u00e0 e non eccedenza, ossia lo scopo originario per il quale i dati sono stati raccolti e usati.
\nQuindi, l\u2019informativa \u2013 che il Regolamento impone sia scritta in modo semplice (art. 7 GDPR) \u2013 e il consenso \u2013 che la nuova disciplina sulla privacy dispone sia inequivocabile \u2013 nella loro veste rafforzata dal Regolamento rimangono i cardini intorno o a cui devono svilupparsi le attivit\u00e0 di marketing. Il Regolamento ha infatti reso pi\u00f9 incisivi questi aspetti; ne consegue che le aziende sono chiamate ad intervenire con non pochi \u201caggiustamenti\u201d.
\nUna interessante novit\u00e0 \u00e8 l\u2019introduzione del principio dell\u2019interesse legittimo al trattamento dei dati personali. Il Regolamento chiarisce infatti che: \u201cpu\u00f2 essere considerato legittimo interesse trattare dati personali per finalit\u00e0 di marketing\u201d.
\nL\u2019impresa dovr\u00e0 pertanto compiere adeguate valutazioni al fine di giustificare il proprio interesse legittimo. Infatti, i legittimi interessi di un titolare possono giustificare un corretto trattamento, a condizione che non prevalgano gli interessi o i diritti e le libert\u00e0 fondamentali dell\u2019interessato, tenuto conto delle ragionevoli aspettative di quest\u2019ultimo.
\nInsomma, nell\u2019acquisire il consenso al trattamento dei dati per attivit\u00e0 di marketing, l\u2019impresa dovr\u00e0 fornire un\u2019informativa che non lasci spazio ad alcun equivoco, poich\u00e9 in caso contrario gli interessi e i diritti dell\u2019interessato andranno a prevalere su quelli legittimi del titolare, rendendo non corretto il trattamento.
\nInoltre, anche qualora i dati personali siano trattati per finalit\u00e0 di marketing diretto, l\u2019interessato deve avere il diritto, in qualsiasi momento e gratuitamente, di opporsi al trattamento iniziale o ulteriore, compresa la profilazione connessa al marketing diretto.
\nAgli iscritti al Registro Opposizioni non \u00e8 consentito rivolgere attivit\u00e0 di Telemarketing, purch\u00e9 essi stessi non abbiano in altre circostanze fornito il consenso (spesso obbligatorio quando si sottoscrive un servizio, per esempio) alle proposte. Se infatti il destinatario \u00e8 iscritto nel Registro, ma in passato ha autorizzato in forma scritta e quindi documentabile una singola l\u2019impresa a contattarlo, tale impresa pu\u00f2 inviargli informazioni.
\nPer questo motivo, per \u201cchiamarsi fuori\u201d gli utenti devono espressamente comunicare ad ogni impresa, attraverso qualsiasi forma di comunicazione, di non voler ricevere informazioni commerciali: gli utenti possono in qualsiasi momento ritirare l\u2019autorizzazione.
\nIn via generale, dunque, la nuova regolamentazione consente che i recapiti telefonici inseriti in elenchi quali albi professionali, registri pubblici o altri elenchi a cui chiunque possa attingere possano essere utilizzarti, anche senza consenso, per attivit\u00e0 di comunicazione telefonica a fini promozionali o promozione riconducibile all\u2019attivit\u00e0 del destinatario (diritto che decade in caso di espressa opposizione).
\nL\u2019azienda che intende svolgere attivit\u00e0 di Telemarketing deve anch\u2019essa iscriversi al Registro delle Opposizioni, rendendo noti i numeri telefonici che intende. Una volta ottenuta la lista dei non-iscritti si pu\u00f2 partire con le comunicazioni commerciali, purch\u00e9 ad ogni destinatario vengano forniti tutti i dati del caso.
\nLa responsabilit\u00e0 dell\u2019impresa non si riduce se il servizio \u00e8 svolto in outsourcing: l\u2019azienda esterna non sempre diventa direttamente responsabile rispetto a irregolarit\u00e0 o violazioni della privacy.<\/p>\n","protected":false},"excerpt":{"rendered":"
Si chiama GDPR (General Data Protection Regulation) e segna il prossimo importante adeguamento in termini di compliance per tutte le aziende europee, indipendentemente dalle loro dimensioni. Il nuovo regolamento europeo rivoluziona il trattamento dei dati personali e la tutela della privacy in ambito professionale. Le aziende sono chiamate ad adottarne le direttive entro il 25 […]<\/p>\n","protected":false},"author":4,"featured_media":409,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"content-type":"","footnotes":""},"categories":[16],"tags":[],"class_list":["post-16066","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-archivio"],"acf":[],"yoast_head":"\n