fbpx

GDPR privacy: cosa prevede la nuova normativa europea

GDPR privacy

Dal 25 maggio 2018 la GDPR privacy sarà pienamente operativo per piccole e grandi imprese.

GDPR. Un acronimo semplice (General Data Protection Regulation) che nasconde dentro di sé non solo la nuova normativa europea sul trattamento dei dati personali bensì un’opportunità per le aziende.
Essenzialmente comporta alcune modifiche strutturali e organizzative per quanto riguarda la raccolta e il trattamento dei dati personali.

La domanda che tutti si pongono ora è: come cambierà la gestione interna dal punto di vista delle aziende?
GDPR privacy non significa solo obblighi ma può rappresentare una grande opportunità di crescita se interpretata nel modo giusto.
Andando per ordine, ecco – per punti – cosa prevede la nuova normativa europea.

1 – Oltre i confini

La GDPR privacy sarà valida per tutti i 28 paesi senza modifiche di nessun tipo da parte dei singoli Stati. Inoltre, riguarderà tutte quelle aziende che trattano dati personali di cittadini europei, a prescindere dalla propria sede legale.

2 – Maggiore controllo e tracciabilità

Nel trattamento dei dati personali viene introdotto un nuovo termine: accountability.
Con l’introduzione della GDPR privacy ogni azienda dovrà attribuire delle responsabilità nel trattamento dei dati a tutti i soggetti che collaborano nella gestione delle informazioni; tutte le attività che vengono svolte devono essere tracciate e registrate.
Oltre a una ri-organizzazione aziendale tutto dovrà essere registrato in modo da sapere anche a posteriori in che modo, dove e quando sono stati raccolti determinati dati personali.

3 – Trasparenza e comprensione

Un importante cambiamento riguarda anche l’informativa. Il documento deve essere messo a disposizione degli utenti e riguarda il trattamento dei dati personali. I testi dovranno essere rivisti e semplificati, eliminando ogni riferimento normativo. Insomma con la GDPR privacy dovranno essere documenti comprensibili a tutti, facili e trasparenti in modo che tutti possano consultarli e comprenderli.

4 – Autorizzazione inequivocabile

Aumenta l’attenzione per i dati raccolti. Al registrante non basterà più il consenso generale dell’utente, bensì servirà riferito a trattamenti specifici.
Ma la vera novità riguarda il modo in cui l’utente può esprimere il suo consenso. Non è più richiesta un’autorizzazione esplicita, ma è necessario che venga espresso in modo inequivocabile.
Questo vuol dire che dopo aver letto l’informativa al trattamento dei dati, se l’utente prosegue con la registrazione, dichiara implicitamente l’accettazione al trattamento dei dati.

5 – Privacy Impact Assessment

La normativa GDPR privacy prevede la stesura del Privacy Impact Assessment. Si tratta di un documento di valutazione di impatto del trattamento dei dati personali.
In poche parole è un’analisi del rischio. All’interno vengono considerati i dati trattati dall’azienda, quali sono i rischi dati da questo uso e quali cautele preventive possono essere utilizzate.
L’ azienda dovrà dunque stilare una lista che comprenderà sia i rischi ipotetici a cui si va incontro sia una serie di soluzioni che permettano di risolvere eventuali problemi.

6 – Addio notificazione

La norma prevede la cancellazione della notificazione, ovvero la comunicazione preventiva alle autorità garanti che un determinato ente o una società tratta dati personali.
La GDPR abolisce questa procedura.  L’azienda sarà però obbligata a redigere una lista comprendente le tipologie di dati trattati attraverso un Data Protector Officer (DPO).

7 – Una nuova figura aziendale

Il Data Privacy Officer ovvero il responsabile per la protezione nel trattamento dei dati sarà una nuova figura all’interno dell’organizzazione aziendale. Non si tratta di un responsabile al trattamento dei dati bensì sarà un auditor all’interno delle aziende. Avrà il compito di verificare che i trattamenti siano effettuati in maniera corretta, che non sussistano o appaiano delle situazioni di rischio.
Si dovrà occupare inoltre della predisposizione del Privacy Impact Assessment.
Nominato dal titolare del trattamento, resterà in carica 4 anni ed sarà il soggetto a cui il garante si dovrà rivolgere quando avrà delle domande sul trattamento dei dati personali svolto dall’azienda.
Non gestisce direttamente i dati ma è il manager del trattamento dei dati.

8 – Il nuovo concetto di privacy

La nuova riforma modifica anche il concetto di privacy: dal 15 maggio la privacy verrà intesa come privacy by design.
La privacy, prima vista come requisito legale, diventa l’obbiettivo del processo di raccolta dati.
Ogni elaborazione di informazione dovrà essere studiata in base alla privacy.
In definitiva, con la GDPR privacy la protezione dei dati personali non viene più concepita come rimedio bensì come processo.

9 – Data Breach Notification

La normativa introduce un regolamento specifico non solo per il trattamento e la gestione dei dati personali, ma anche per le ipotesi di violazione dei dati personali: il Data Breach Notification.
Si tratta dell’obbligo di comunicazione alle autorità di eventuali violazioni verificate in un determinato database.
La notifica dovrà essere effettuata al garante entro 72 ore, e quest’ultimo si occuperà eventualmente di informare i soggetti i cui dati sono stati oggetto di violazione.
Questo significa che saranno necessari dei software atti a monitorare e a rilevare infiltrazioni nei database aziendali.

10 – Più diritti per i soggetti

Con l’avvento della GDPR privacy verranno introdotti nuovi diritti a favore dei soggetti che decidono di affidare i propri dati personali alle aziende. Di conseguenza, subentrano per le aziende nuovi doveri:

  • Il Diritto all’Oblio ovvero il diritto del soggetto di recesso, quindi di essere annullato dal database aziendale. Si tratta di un processo differente dalla semplice cancellazione: con “oblio” si intende l’eliminazione di qualsiasi traccia di dati.
  • Il Diritto di Portabilità consente invece di trasferire il nostri dati da un database all’altro.

Quali nuove opportunità ci saranno per le aziende?

Come detto inizialmente la normativa GDPR privacy porterà con sé non solo cambiamenti e obblighi per le aziende ma anche opportunità. Vediamo per punti quali:

  • Organizzazione
    Un’azienda può considerare che il database che ha generato è un valore aggiunto, ed è da valorizzato a bilancio. Aiuta nella gestione e nella protezione dei propri dati interni.
  • Consenso
    Essendo il consenso meno formale ed implicito si stabilisce una relazione maggiore con l’interessato che accetta di dare i propri dati personali.
  • Profilazione (attività tecnica specifica, caratterizzata dall’automatismo)
    Grazie ai database è possibile conoscere meglio le persone a cui i dati si riferiscono, estrarre informazioni su criteri di affinità e di scelta. Prima questa attività era condizionata dal consenso specifico che non permetteva di svolgere al meglio questo tipo di attività.

GDPR e marketing

Come cambia effettivamente l’organizzazione e la gestione delle risorse di marketing all’interno dell’azienda?

La comunicazione aziendale e l’utilizzo dei database sono due attività intrecciate tra loro. La normativa avrà un ruolo incisivo per l’archiviazione dei contatti, le attività di marketing e la compilazione dei form sui siti web.

Queste sono solo alcuni degli ambiti dove vedremo dei cambiamenti a seguito dell’introduzione della legge. Per le aziende è necessario adattarsi alle norme entro il 25 maggio 2018.

Anche Operathing è pronta per questo cambiamento e ad offrire un servizio in linea con gli standard della nuova normativa entrante.

Ecco una guida all’applicazione: garanteprivacy.it

Se vuoi ulteriori informazioni sull’applicazione della GDPR, contattaci senza impegno!

Dichiaro di avere letto l'informativa sulla privacy in linea con il GDPR 2016/679.

Dichiaro di avere letto l'informativa sulla privacy in linea con il GDPR 2016/679.



WhatsApp chat