GDPR, cosa è cambiato per le aziende italiane?

11 settembre 2018

Più diritti per gli utenti e più oneri per i titolari del trattamento dei dati.

La normativa GDPR (General Data Protection Regulation) ha determinato, dall’entrata in vigore dello scorso maggio, un significativo cambio di approccio per le aziende coinvolte nel trattamento dei dati personali. Oggi, infatti, la raccolta, la conservazione, l’elaborazione e la cancellazione dei dati devono rispettare le prescrizioni contenute nel provvedimento, a prescindere dalle modalità con cui esse vengono eseguite. Per le imprese, i cambiamenti più significativi hanno a che fare con la nuova disciplina del Data Protection Officer, ma anche con le nuove tutele per gli interessati. Ne derivano condizioni per il consenso rafforzate rispetto al passato e, per il responsabile e il titolare dei dati, adempimenti e oneri che in precedenza non erano previsti. Tale scenario, tuttavia, si traduce anche in maggiori opportunità per una gestione più consapevole dei dati stessi*.

Il consenso – più attenzione e trasparenza

Con il GDPR, il concetto di consenso è stato ridefinito: esso corrisponde a qualunque tipo di manifestazione di specifica e libera volontà, che deve essere fornita dal soggetto interessato in modo inequivocabile e informato, per la concessione dell’assenso al trattamento dei dati personali che lo riguardano. Il consenso deve consistere in un atto positivo con una dichiarazione che sia scritta in modo chiaro e inequivocabile; esso deve essere richiesto per tutte le finalità di trattamento. Per i servizi della società dell’informazione il consenso può essere richiesto e manifestato attraverso la scelta di impostazioni tecniche, mentre in un sito web è sufficiente la selezione di una casella apposita. Sono accettati, comunque, tutti gli altri comportamenti e tutte le altre dichiarazioni attraverso cui i soggetti interessati abbiano la possibilità di esprimere la propria adesione del trattamento. Quest’ultima non può derivare, invece, dalla preselezione di caselle, dalla mancanza di selezione delle stesse.

 

Registro dei trattamenti, DPO, valutazione dei rischi e notifiche – cosa cambia in sostanza per le aziende

L’adempimento normativo da parte delle imprese deve prevedere, tra l’altro, la messa a punto del Registro dei trattamenti, il quale deve essere predisposto in considerazione degli obblighi indicati dall’articolo 30 del GDPR. La compliance aziendale deve includere la modifica o la stesura dei documenti che devono essere impiegati: ciò implica, per esempio, un aggiornamento delle normative e la redazione dell’atto di nomina del Data Protection Officer. La valutazione dei rischi e la definizione delle policy di sicurezza sono altri due aspetti che devono essere presi in considerazione: si tratta di prendere in esame le misure di carattere organizzativo e di natura tecnica che devono essere adottate, facendo riferimento agli obblighi previsti per il titolare dei dati. Quest’ultimo è anche tenuto a comunicare le eventuali violazioni che dovessero concretizzarsi all’autorità garante (data breach): affinché ciò sia possibile, è indispensabile stabilire delle procedure ad hoc che permettano di rilevare le stesse violazioni e di produrre una reportistica adeguata.

 

I dati sono il petrolio dell’economia digitale – i diritti per gli utenti

A tutti gli utenti deve essere concessa la possibilità di confermare non solo i propri diritti di accesso ai dati, ma anche quelli di rettifica e di cancellazione degli stessi, così come il diritto di opposizione al trattamento. Il diritto alla portabilità dei dati, il diritto di limitazione del trattamento e il diritto all’oblio sono, a loro volta, contemplati nel GDPR, con l’obiettivo di consolidare il principio di trasparenza che deve essere rispettato dai titolari del trattamento. I soggetti interessati, per esercitare i propri diritti, possono rivolgersi direttamente al responsabile del trattamento; in caso di difficoltà riscontrate nell’esercitare i propri diritti, potranno avvalersi di una procedura specifica che prevede un reclamo presso l’autorità di controllo o l’inoltro di un ricorso giurisdizionale effettivo, sia verso il responsabile che verso il titolare del trattamento dei dati.

 

La valutazione di impatto – prevenire è meglio che curare

Per ciascun trattamento relativo alla protezione dei dati personali la compliance aziendale deve prevedere una valutazione d’impatto, che deve essere eseguita in tutte le circostanze che prevedano operazioni di trattamento rischiose: è il caso, ad esempio, dell’utilizzo delle smartband, delle scatole nere sulle auto o di altre tecnologie particolarmente innovative. Tocca al titolare valutare ogni caso a sé, dal momento che il GDPR non identifica i trattamenti che devono essere considerati a rischio. Insomma, il GDPR si caratterizza per un significativo e decisivo mutamento di prospettiva nei confronti della disciplina della privacy che era in vigore fino a poco tempo fa: non si tratta più di rispettare dei semplici oneri burocratici, ma di ritenere la protezione dei dati un adempimento normativo quotidiano, tale da risultare parte integrante di qualsiasi tipo di processo aziendale.

Come sottolineato in apertura, il nuovo Regolamento ha introdotto una voce di costo consistente nei bilanci delle aziende (Confesercenti ha stimato 2 miliardi di euro per le aziende italiane). Le organizzazioni devono necessariamente investire con oculatezza il budget allocato. Per raggiungere questo obiettivo è necessario che le imprese e le PA considerino l’attuazione del GDPR come un investimento necessario a sostenere il proprio futuro piuttosto che come un onere: proteggere i dati significa anche assicurarne la qualità, presupposto chiave per lo sviluppo di una Data Economy sostenibile e duratura.

Nel rivedere i propri processi aziendali in ottica GDPR, le aziende stanno ottimizzando gli strumenti digitali in uso e gestendo l’impiego di strumenti noti da tempo, già aderenti ai requisiti del Regolamento. E’ il caso della webmail o dei sistemi di gestione della posta tradizionale che sembrano non essere più sufficienti a garantire la tutela e la protezione dei dati scambiati. Dotarsi di un software per la gestione delle PEC sta diventando, quindi, requisito essenziale per ottenere la conformità al GDPR.

 

(*) Fonte: www.agendadigitale.eu

Share This