CURIOSITÀNOTIZIE

GDPR (General Data Protection Regulation): F.A.Q. (Frequently Asked Questions): Togliamo i Dubbi.

Da 19 aprile 2018 Nessun Commento

Cos’è Il GDPR

 

Dal 25 maggio il GDPR diventerà obbligatorio. Questo nuovo Regolamento che andrà a disciplinare il trattamento dei dati personali, avrà un notevole impatto non solo sulla privacy dei dati ma anche sugli obblighi a cui le imprese dell’UE e non solo devono attenersi. Nel frattempo può tornare utile guardare insieme alcune delle domande più frequenti per cercare di prendere confidenza con il nuovo Regolamento e arrivare al 25 maggio preparati.

1) Che cos’è il GDPR e quando troverà piena applicazione?

Il GDPR, acronimo di General Data Protection Regulation, è il Regolamento Europeo sulla protezione dei Dati che andrà a rivoluzionare la gestione dei dati personali degli utenti sul web, in un’ottica di trasparenza, semplificazione, unificazione e soprattutto responsabilizzazione tra i Paesi.

Il GDPR è entrato ufficialmente in vigore nel maggio del 2016, andando a sostituire la precedente direttiva sulla protezione dei dati del 1995, ma, trattandosi di un regolamento ad applicazione differita, diventa obbligatorio a distanza di due anni dalla data della sua approvazione, ovvero il 25 maggio 2018.

Data che probabilmente vedrà l’abrogazione del precedente codice della privacy, ovvero il D. Lgs. 196/03

2) Qual è la differenza rispetto alla precedente direttiva sulla protezione dei dati del 1995?

Le normative del 1995 sono state concepite in un periodo in cui il fenomeno internet non aveva ancora preso piede e la conservazione dei dati avveniva con delle procedure completamente diverse rispetto ad oggi.

Il GDPR è una normativa di nuova generazione che a partire dal 25 maggio 2018 segnerà l’inizio di un nuovo modo di trattare i dati personali degli utenti. Si passa da un sistema imperniato su un modello autorizzatorio ad un modello di responsabilizzazione dei trattamenti.

3)Quali novità introduce il GDPR in merito alla raccolta del consenso?

Al momento in Italia vige il meccanismo del consenso preventivo, detto anche metodo opt-in, ovvero il consenso è valido solo se acquisito prima di ogni trattamento, per rendere lo stesso lecito.

Altri Stati in Europa si avvalgono della logica del consenso presunto in base al comportamento dell’utente. Nel Regno Unito invece vige il meccanismo dell’opt-out, che presume il consenso a meno che non ci sia una una negazione esplicita.

Il GDPR nell’ottica di armonizzare la normativa nei diversi Paesi, trova un punto di equilibrio stabilendo la validità del consenso solo se manifestato preventivamente, attraverso comportamenti concludenti positivi.

4). E’ possibile attuare la regola dei comportamenti concludenti positivi per raccogliere i dati già da ora, ovvero prima del 25 maggio?

Si perché i due anni di tempo sono stati concessi per dare modo agli Stati di adeguarsi per tempo alla normativa.

Il GDPR è già vigente e dal 25 maggio diventa obbligatorio.

5)Possono essere utilizzati i dati che le aziende divulgano pubblicamente, come quelli reperibili online?

Anche se si tratta di dati reperibili e consultabili pubblicamente, secondo quanto previsto dal GDPR questi non possono essere utilizzati liberamente per azioni di marketing diretto, in assenza di un consenso preventivo e formulato in modo non equivoco dall’interessato.

6) Il meccanismo del double – opt in per la raccolta dei dati è obbligatorio per legge?

Il meccanismo del double – opt in non è obbligatorio per legge, ma, è un meccanismo virtuoso assolutamente raccomandato, poiché consiste in un doppio step di conferma da parte dell’utente in merito alla volontà di ricevere le comunicazioni.

Il GDPR impone un’informativa strutturata, maggiori chiarimenti ed eventualmente anche un clip video per spiegare le finalità del trattamento.

7) che fine fanno i dati raccolti in base alla vecchia normativa?

I dati personali degli utenti raccolti sotto la precedente normativa dovranno essere soggetti ad un’analisi per valutare se possono continuare ad essere utilizzati anche alla luce della nuova normativa.

8) Per quanto concerne gli e-commerce, come ci si comporta se un cliente lascia la propria mail per ricevere informazioni sull’ordine, ma non spunta la casella per ricevere informazioni di carattere commerciale?

Se il cliente non barra la casella per ricevere informazioni di carattere commerciale, i contatti da questo lasciati non possono essere utilizzati per inviargli aggiornamenti di carattere commerciale perché ignorando la casella ha espresso chiaramente il suo diniego, ovvero il consenso non è stato validamente espresso.

9)Gli indirizzi aziendali e gli indirizzi privati sono soggetti ad un analogo trattamento dei dati?

No. I dati relativi a persone fisiche ed i dati relativi a realtà aziendali vengono trattati diversamente. Gli indirizzi del tipo bianchi@azienda.it  sono annoverati come dati personali, mentre quelli relativi a realtà aziendali del tipo amministrazione@azienda.it  non sono dati personali.

10) Quali aziende devono dotarsi di un DPO?

Il Data Protection Officer è una nuova figura introdotta dal GDPR. Vediamo quali aziende devono avere questa figura al loro interno e qual è il suo ruolo.

I soggetti per i quali la figura del DPO è obbligatoria sono:

  • Enti pubblici
  • Aziende private che trattano in modo monitorato e automatico dati sensibili e giudiziari
  • Soggetti che effettuano trattamenti su larga scala

Quale ruolo il DPO?

  • Verificare il corretto trattamento dei dati
  • redigere il documento di Privacy Impact Assessment
  • valutare che non si corrano rischi derivanti dal trattamento dei dati.

 

L’art. 37 del Regolamento 2016/679 elenca i casi in nominare il DPO è obbligatorio:

Articolo 37

Designazione del responsabile della protezione dei dati

  1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: – Il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali – Le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure – Le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (dati sensibili) o di dati relativi a condanne penali e a reati (dati giudiziari). 2. Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento. 3. Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.