Con l’ingresso in vigore del General Data Protection Regulation vengono introdotti alcuni punti comuni a tutti i Paesi membri:
- regole chiare e univoche sull’informativa e il consenso
- regolamentati i limiti al trattamento automatizzato dei dati personali
- nuovi diritti per gli utenti
- criteri rigorosi per il trasferimento degli stessi al di fuori della Ue
- norme rigorose per i casi di violazione dei dati (data breach).
Andiamo a vedere nel dettaglio cosa dice:
Consenso
Il consenso della persona interessata deve essere fornita in modo esplicito.
In esempio non basta solo avvertire l’utente che i dati verranno trattati secondo la normativa sulla privacy in vigore presso l’azienda, il sito, l’ente ecc, ma questo consenso deve essere esplicitato con l’apposita casella da spuntare (in un modulo on line) oppure con una seconda firma se il modulo o il contratto è cartaceo.
Informativa privacy
L’informativa sulla privacy deve essere un testo semplice, conciso, facile da leggere in cui ci sia scritto dove come e da chi i dati vengono trattati, per quanto tempo, con che finalità e se possono essere ceduti o meno.
Per esempio se i dati servono, secondo l’informativa della privacy, per le sole comunicazioni tra il cliente e l’azienda questi non possono essere ceduti a terzi e devono essere nella quantità minore possibile per permettere una corretta comunicazione.
Data breach (Violazione dei dati)
Tutti i titolari dei dati dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza. Entro 72 ore dalla sua scoperta.
La comunicazione va fatta solo se il responsabile del trattamento dei dati ritiene possibile che la violazione dei dati comprometta i diritti dell’interessato
La notifica all’Autorità della violazione non è obbligatoria, ma deve essere valutata dal titolare del trattamento dei dati.
Esempio 1: L’azienda xxxxxx ha come finalità la vendita on line di prodotti commerciali, i dati raccolti sono molti, tra i quali nome, cognome, sesso, indirizzo, codice fiscale, numero carta di credito ecc, in questo caso il rischio che i dati vengano usati per scopi fraudolenti è altissimo, quindi la notifica è più che necessaria.
Esempio 2: il blog xxxxx.yy ha subito la violazione del database dove vengono conservati i dati dei vari commentatori che si sono iscritti al blog tramite l’uso di nickname e di un indirizzo mail. In questo caso la valutazione del responsabile dei dati personali dovrà vertere sull’impatto che il furto dei dati può avere sull’utente. Molto probabilmente un impatto quasi nullo che non mette a rischio la sua libertà e la sua sicurezza.
Oblio
Il diritto alla cancellazione dei propri dati, sia dal database o dall’elenco del detentore, sia da eventuali terze parti.
Esempio: Una piattaforma internet che si occupa di petizioni on line riceve la richiesta di cancellazione dei propri dati da un utente. Il responsabile dei dati deve informare della richiesta anche tutte le aziende terze a cui questi dato sono stati ceduti/venduti, specie se i dati dell’utente sono stati pubblicati.
Data Protection Officer (responsabile della protezione dei dati)
Colui che si occupa della gestione, della sorveglianza e delle strategia da attuare per mettere in sicurezza i dati, ed evitarne il furto o lo smarrimento e la cancellazione. Deve essere in grado di gestire, con la sua competenza, i dati sensibili e valutare l’impatto di un eventuale furto.
Sanzioni
Sanzioni amministrative: i titolari e responsabili possono essere multati fino a 20mln € o fino al 4% del fatturato mondiale totale annuo.