Privacy 2.0

La nuova riforma prevista con l’introduzione del Regolamento Europeo, (di prossima pubblicazione), ha molti spunti utili per le aziende che non possono essere ignorati.

La tutela dei dati personali e della libera circolazione delle informazioni è un tema sensibile e fondamentale e con il Regolamento UE la privacy sarà un processo aziendale da seguire passo dopo passo.

Oggi, i dati personali sono fondamentali per generare fatturato e sono diventati una vera e propria merce di scambio.

Vi siete chiesti come sia possibile ottenere un servizio gratuito ad esempio quando installate una APP sul Vostro smartphone?

Semplice! i Vostri dati, forniti gratuitamente in fase di installazione accettando di fornire permessi di accesso, saranno rivenduti e utilizzati per analisi, statistiche e ricerche.

Proprio per questa evoluzione nel ruolo dei dati, le normative in vigore (come la 95/46/CE da cui nasce il nostro Codice in materia di Dati Personali) non erano più in grado di rispondere alle esigenze di chi vuole utilizzarli e di chi deve essere tutelato.

Nel dicembre del 2015 è stato definito il testo conclusivo del Regolamento, che in questi giorni sta subendo la revisione finale e la traduzione nelle 24 lingue dell’Unione.

I principi fondamentali:

  1. Bisogna cercare di trattare il minor numero possibile di dati = minimizzazione dei dati,
  2. Bisogna favorire l’anonimizzazione dei dati ogni volta che è possibile farlo.

La nuova norma dovrebbe essere pubblicata sulla Gazzetta Ufficiale a giugno/luglio 2016.

Gli impatti principali sulle imprese?

1. Individuazione dei soggetti a cui si applica il Regolamento.

La legge applicabile è quella del soggetto i cui dati vengono raccolti. Social network, piattaforme web e motori di ricerca saranno quindi soggetti alla normativa europea anche se sono gestiti da società con sede fuori dall’UE. Con il nuovo regolamento viene abolita la figura del Titolare del Trattamento Dati e rimane solo la figura di Responsabile.

2. Dovere di documentazione e informazione.

Principio dell’accountability (responsabilità verificabile), secondo cui tutti i soggetti che partecipano al trattamento dati devono essere consci e responsabili e devono tenere documentazione di tutti i trattamenti effettuati. Chi non documenta, è soggetto a possibili sanzioni: a prescindere dall’utilizzo che si fa dei dati, è sufficiente non avere i documenti per essere perseguibili.

3. L’informativa privacy.

L’informativa deve essere leggibile, comunicativa, accessibile, concisa e scritta con linguaggio chiaro e semplice con un numero limitato di riferimenti normativi. Deve essere fornita per iscritto.

4. Cambia il consenso.

Il consenso deve essere libero, specifico, informato e inequivocabile. Il consenso è valido se la volontà è espressa in modo NON equivoco, anche con un’azione positiva: non ci deve essere per forza la casella di spunta, basta un testo in cui si informa che proseguendo si accetta il trattamento dati con link all’informativa.

5. Valutazione d’impatto sulla protezione dei dati.

Si effettua una valutazione degli impatti privacy analizzando i rischi, definendo i gap rispetto alla corretta gestione dei rischi, stabilendo un piano per colmarli e controllando annualmente gli effetti degli interventi per ridurre i rischi. Il nuovo documento (ex DPS) sarà il Privacy Impact Assessment.

6. Abolizione della notificazione.

Non si dovrà più notificare il Garante, ma ogni anno l’azienda dovrà redigere il privacy impact assessment, con il quale si considera effettuata la notifica.

7. Il Data Privacy Officer.

Bisogna istituire (obbligatorio per aziende con oltre 250 dipendenti, per tutti gli enti pubblici e per aziende il cui core business coinvolge trattamenti di natura rischiosa) un Responsabile per la protezione dei dati. Il DPO sarà una figura manageriale con rinnovo periodico, sarà referente del Garante e dovrà avere requisiti e competenze elevate. Il DPO potrà essere sia un dipendente che un collaboratore con regolare contratto.

8. Privacy by design e Privacy by default.

La privacy deve essere vista come un elemento iniziale: devo pensarci appena decido di raccogliere dati e predisporre alti livelli di privacy nel trattamento dati, che potranno essere abbassati dal diretto interessato.

9. Obbligo di segnalazione in caso di violazione dei dati.

Nel caso di violazione del trattamento dati bisogna effettuare una segnalazione al Garante entro 72 ore dall’evento e, nel più breve tempo possibile, bisogna informare anche i diretti interessati. Il mancato rispetto di quest’obbligo comporta sanzioni penali. È possibile prevedere delle assicurazioni per coprire il costo di comunicare la violazione a tutti gli interessati, definito Data Breach.

10. Riconoscimento di nuovi diritti.

Nuovi diritti: diritto alla portabilità dei dati (posso pretendere che il soggetto a cui ho concesso l’uso dei miei dati me li restituisca su un supporto elettronico strutturato così che io possa farne ulteriore uso, anche presso un altro fornitore), diritto a essere totalmente dimenticato da chi ha raccolto i miei dati.

Inoltre vi sono altre importati novità:

  • Vengono introdotte le definizioni di “Dato Generico” e “Dato Biometrico”
  • Introdotta la categoria del trattamento dati dei minori
  • Introduzione del Diritto all’Oblio
  • Introduzione della figura del Joint Controller
  • Introduzione di requisiti più stringenti per trasferire dati verso Paesi Terzi
  • Introduzione del principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni e servizi ai cittadini UE o tali da permettere il monitoraggio dei comportamenti dei cittadini dell’UE
  • Istituzione del Comitato Europeo per la protezione dei Dati

Le sanzioni:

Fino a € 20.000.000 per i privati e le imprese che non fanno parte di gruppi;

Fino al 4% del fatturato complessivo (consolidato) per i Gruppi societari.

In attesa della definitiva entrata in vigore del Regolamento europeo è importante ricordare quali sono ad oggi i principali adempimenti vigenti e previsti dalla normativa italiana (Decreto Legislativo 196 del 2003) per la corretta gestione dei dati personali all’interno dell’azienda (elenco non esaustivo).

  • Redigere, rilasciare, pubblicare idonee informative ai sensi dell’art. 13 del D.Lgs 196/03 (clienti, fornitori, collaboratori, visitatori del sito web, ecc..)
  • Raccogliere il consenso quando necessario
  • Effettuare la formazione del personale
  • Applicare misure di sicurezza informatica
  • Assolvere a quanto previsto dal Provvedimenti del Garante sugli amministratori di sistema
  • Nominare gli incaricati al trattamento
  • Redigere il disciplinare interno per l’utilizzo degli strumenti elettronici
  • Definire procedure per la gestione dei documenti cartacei
  • Assolvere alle prescrizioni in materia di videosorveglianza
  • Gestire la privacy policy del sito web
  • Gestire i trattamenti affidati in esterno

Proposta di servizio

Per venire incontro alle esigenze di consapevolezza delle Aziende per quanto riguarda il rispetto della normativa e le attività da mettere in atto per conformarsi alle nuove disposizioni è stato predisposto uno specifico questionario per la redazione del documento di Privacy Impact Assessment.

Il questionario dovrà essere compilato dall’Azienda. In caso di necessità di supporto la compilazione potrà essere effettuata con l’ausilio di un nostro incaricato (richiedere il costo dell’intervento di supporto).

Il questionario dovrà essere rispedito via mail per ottenere il preventivo di rielaborazione dei dati.

Accettato il preventivo ed effettuato il pagamento il questionario verrà da Noi rielaborato e sarà consegnato in Azienda il documento di Privacy Impact Assessment.

Per eventuali informazioni e chiarimenti.

Scarica il questionario