ROMA – Privacy, ecco i nuovi obblighi per imprese e professionisti, grazie alla nuova tegola europea. Mentre nessuno ci protegge dall’aggressione dei call center all’ora di cena, la burocrazia europea si è prodotta in un nuovo pezzo di bravura, il nuovo Regolamento della Privacy europeo.
Mancano poco più di cento giorni al 25 maggio 2018 all’entrata in vigore del Gdpr, acronimo che sintetizza il Nuovo Regolamento in tema di “Data protection”, una rivoluzione che promette regole più stringenti sulla privacy che i colossi del Big Data dovranno applicare in Europa, ma che impone nuovi vincoli e lacci alle imprese – pena multe salatissime, fino a 20 milioni o al 4% del fatturato. Con ovvio aumento dei costi e la necessità di dotarsi di personale qualificato per adeguarsi alla normativa: serviranno almeno 45.000 specialisti della privacy.
Nell’era della videosorveglianza intelligente, il Gdpr tutelerà il diritto alla riservatezza aumentando di contro responsabilità di produttori, installatori e grandi utilizzatori. Un appuntamento cui le aziende private (ma anche nel settore pubblico le cose non cambiano) arrivano impreparate, se è vero che il 78% dei responsabili IT delle aziende coinvolte non ha compreso chiaramente l’impatto della nuova normativa o non ne è a conoscenza (fonte, la ricerca condotta da ESET e IDCI).
Le nuove norme offrono più tutele sul fronte della geolocalizzazione degli utenti e l’accesso ai supporti elettronici (deve essere sempre chiesto il consenso), sui cookies e l’obbligo di fornire il servizio anche se l’utente non consente di tracciare la sua attività online, e una protezione ‘per default’ della privacy incluso per i sistemi di accesso a internet.
Di seguito, grazie all’ottimo lavoro di sintesi pubblicato dalla media company 4.0 “Outsider news”, elenchiamo di seguito i principi e i diritti di cui i titolari, persone fisiche o giuridiche, i responsabili della protezione dei dati personali e gli incaricati dovranno tener conto:
– il principio di accountability per cui è responsabilità dei titolari dei dati di clienti, dipendenti, fornitori, ecc. conformarsi alle nuove prescrizioni e dimostrare in caso di controlli di aver adottato informative chiare, misure di sicurezza adeguate per proteggere i dati e aver effettuato la formazione di cui si dirà;
– the “Data Protection Impact Assessment” (DPIA) ovvero l’obbligo di “valutazione dell’impatto sulla protezione dei dati” in caso di rischi elevati nel trattamento, ad es. la profilazione, i dati biometrici e quelli riferiti ai minori;
– il titolare del trattamento deve pretendere dai fornitori l’uso di software conformi alle prescrizioni del Regolamento UE;
– the “right to be forgotten” il diritto all’oblio e “the right to data portability” il diritto alla portabilità dei dati a favore degli interessati;
– l’obbligo di comunicare entro settantadue ore agli interessati e al Garante le violazioni alla sicurezza che comportano l’accesso e la divulgazione dei dati personali non autorizzata, la perdita, ecc. (data breaches notification);
– il principio di “privacy by design” ovvero la necessità di tutelare il dato personale sin dalla progettazione dei sistemi informatici che ne prevedono l’utilizzo e il principio di “privacy by default” ovvero la tutela i dati personali come impostazione predefinita dell’organizzazione aziendale;
– l’obbligo di trattare i dati personali c.d. “sensibili” in particolar modo quelli concernenti la salute in maniera totalmente sicura, utilizzando tecniche di cifrature dei dati e/o dei databases;
– il registro del trattamento dati, in realtà saranno due considerando anche quello del responsabile della protezione dei dati, obbligo richiesto alle imprese con almeno duecentocinquanta dipendenti;
– la nomina di un Data Protection Officer (D.P.O.) che, ex art. 37 GDPR, è obbligatoria se le attività principali del titolare consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala o riguardano categorie particolari di dati o di dati personali relativi a condanne penali e reati chi deve dovrà svolgere il trattamento dei dati su larga scala. (Outsider news)
