Il 25 maggio 2018 entrerà in vigore il nuovo regolamento europeo relativo alla protezione dei dati personali delle persone fisiche e alla loro libera circolazione. Le imprese dovranno quindi conformarsi alle nuove regole europee in materia di privacy e cambieranno il modo di trattare i dati personali.
Il nuovo Regolamento sulla privacy imporrà obblighi stringenti e introdurrà nuove responsabilità volte a garantire maggiori misure di sicurezza a protezione dei dati personali. Regole più chiare in materia di informativa e consenso, limiti al trattamento automatizzato dei dati personali e criteri (e relative sanzioni) rigorosi nei casi di violazione dei dati personali.
Il Regolamento andrà a sostituire il Codice della Privacy attualmente in vigore in Italia, riconoscendo importanti ed ampi diritti ai cittadini e imponendo alle imprese e alla Pubblica Amministrazione una forte responsabilizzazione.
In sintesi cosa dovranno fare le imprese per mettersi in regola con il nuovo regolamento sulla privacy?
Tra meno di due mesi diventerà obbligatorio adeguarsi alle nuove norme europee in materia di privacy. In sintesi, cosa si dovrà fare?
- Fare gli adempimenti minimi obbligatori, cioè il registro trattamenti, la valutazione di impatto, la nomina DPO.
- Rendere più efficiente l’azienda, cioè deve essere semplice trovare e condividere i dati, devono essere chiare le regole di uso di computer e telefoni per i lavoratori.
- Fare una breve formazione obbligatoria sulla privacy.
- In questo modo l’azienda si troverà protetta sia rispetto alle sanzioni civili e penali, sia rispetto a fughe di dati.
Vediamo alcuni aspetti specifici della nuova legge sulla privacy
Privacy: i dati a scadenza
La nuova disciplina in tema di trattamento di dati personali prevede un concetto nuovo e sinora sconosciuto: ossia la scadenza dei dati. In pratica, nel momento in cui l’azienda entra in possesso dei dati di un utente, non può tenerli per sempre. Ogni azienda, nella propria informativa privacy, dovrà specificare il tempo entro il quale il dato sensibile andrà trattato, scaduto il quale il trattamento diventerà illegittimo.
Privacy by design
Privacy by design è un concetto che stabilisce come la privacy dei dati deve essere curata fin dalla progettazione di un processo aziendale. L’impresa deve effettuare una valutazione dell’impatto-privacy, cioè una puntuale e documentata analisi dei rischi per i diritti e le libertà degli interessati. Questa analisi deve escludere il verificarsi in concreto dei rischi legati al trattamento dei dati personali.
Privacy: il responsabile della protezione dei dati personali
Il nuovo Regolamento ha introdotto la figura del Responsabile della Protezione dei Dati Personali (detto Dpo). Si tratta di un soggetto che, attraverso le sue competenze specifiche, dovrà garantire la tutela della privacy attraverso la verifica della corretta applicazione del Regolamento, la formazione del personale, la sensibilizzazione, la consulenza ecc.
Il diritto all’oblio
Il cosiddetto diritto all’oblio stabilisce il diritto ad ottenere la cancellazione dei propri dati personali dalle notizie e anche dai motori di ricerca qualora il motivo che ha reso legittima la pubblicazione di quel dato non sia più di pubblica utilità (come, per esempio, nell’ipotesi di una persona che è stata assolta da un’accusa di cui i giornali e le testate online avevano dato notizia).
Privacy e aspetti informatici
Una novità importante introdotta dal regolamento è quella che riguarda gli aspetti tencologici e informatici connessi al trattamento dei dati personali. Le aziende saranno obbligate a comunicare al Garante le violazioni dei dati, i cosiddetti ”data breach“, ad esempio in caso di attacco informatico. La norma introduce infatti il diritto per tutti i cittadini, siano essi aziende o persone fisiche, di conoscere la violazione dei dati avvenuta in un’azienda che ne detiene i dati.
le imprese dovranno dotarsi di strumenti tecnici e organizzativi adeguati e proporzionati al tipo di dati trattati, alla finalità del trattamento, alle modalità, al contesto organizzativo e ai rischi potenziali che il trattamento può provocare sui diritti e le libertà degli interessati, misure che consentano di garantire, l’integrità dei dati personali trattati, la disponibilità, la resilienza dei sistemi usati e un elevato grado di protezione dei dati stessi. In particolare bisognerà porre particolare attenzione all’utilizzo dei vari device (pc, smartphone, tablet, wi-fi) al fine di evitare accessi abusivi ai dati, alterazioni o modifiche degli stessi, cancellazioni, divulgazioni non autorizzate o violazioni di altro tipo.
Si consiglia l’utilizzo di strumenti e pratiche quali:
- Firewall.
- Password sicure per accedere ai sistemi informatici.
- Impiego di protocolli SSL.
- Strumenti che permettano di effettuare il back up, meglio se continuo dei dati, come ad esempio potrebbe essere un servizio di cloud fornito da un soggetto terzo di cui sarà necessario vagliare l’affidabilità e il grado di sicurezza offerto prima di sottoscrivere il contratto, designando, tra l’altro, anch’esso, responsabile del trattamento.
- Mantenere i sistemi operativi sempre aggiornati e i vari programmi e le applicazioni utilizzate.
Le sanzioni previste dalla nuova normativa sulla privacy
Le norme che sanzionano il trattamento illecito di dati personali sono molto severe. Il Regolamento, infatti, ha innalzato sensibilmente la misura delle pene pecuniarie, che potranno arrivare fino ad un massimo di 20 milioni di euro o fino al 4% del fatturato annuo.