Cos’è il GDPR?

avv. Samanta Casarin

Pubblicato da avv. Samanta Casarin

Cos’è il GDPR?

Sia che tu sia un responsabile marketing, un professionista o il proprietario di un’azienda dovresti ormai essere al corrente delle ultime novità in ambito privacy e protezione dati.

E’ ormai noto a tutti che il 25 maggio sono cambiate molte cose… ma cos’è il GDPR e quale impatto avrà sulla tua azienda?

Scopriamolo insieme...

Il Regolamento UE N.679/2016

Con il Regolamento Ue del 27 aprile 2016 n.2016/679/UE il Parlamento Europeo è andato ad abrogare e così sostituire, la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

Il 4 maggio 2016 il Regolamento generale sulla protezione dei dati personali è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea per entrare in vigore poi su tutto il territorio dell’Unione il 25 maggio 2016 ovvero 20 giorni dopo la pubblicazione.

Lo stesso Regolamento però ha previsto un periodo di n. 2 (due) anni successivo all'entrata in vigore, per consentire l’adeguamento alle nuove disposizioni: l’applicazione è avvenuta il 25 maggio 2018.

Qual è l’ambito di applicazione del Regolamento?

Il Regolamento del Parlamento Europeo è relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Il GDPR (General Data Protection Regulation) riguarda appunto la protezione dei dati. Tale regolamento risulta applicabile in tutti gli Stati dell’Unione Europea a differenza della Direttiva, la quale infatti, affinché possa essere attuata, è necessario che sia recepita dai singoli Membri dell’Unione con l’emanazione di relativa legge ordinaria.

I cambiamenti non finiscono qui.

Tale regolamento, infatti, risulta applicabile anche a tutte quelle aziende con sede legale al di fuori dell’Unione Europea ma che si trovano a dover gestire dati sensibili di cittadini dell’Unione.

I principi del Regolamento: la protezione dei dati

Tra i principi alla base del predetto Regolamento vi è la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale considerata come un diritto fondamentale.

L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea («Carta») e l'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. 

Il Regolamento Europeo n.679/2016 come detto, si applica a tutti i Paesi europei e le imprese straniere che vorranno continuare a svolgere attività all'interno dell'Ue dovranno quindi adeguare la propria privacy policy alle norme di cui al predetto Regolamento.

In particolare in riferimento ai soggetti che non sono dell’Unione, il Regolamento all'art. 3 “ambito di applicazione territoriale“ specifica quanto segue: 

"...il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano: a) l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione. 3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico."

E’ vietato il trasferimento dei dati verso Paesi al di fuori dell’Unione Europea a meno che non vi sia il consenso esplicito dell’interessato o la sussistenza di standard adeguati di sicurezza.

Per quanto riguarda invece i rapporti tra l'Ue e gli Stati Uniti è in vigore ad oggi il Privacy Shield: trattasi di un accordo che definisce le modalità di conservazione dei dati di cittadini europei negli Stati Uniti e si propone di tutelare i diritti alla privacy delle persone residenti nell'Unione Europea nel momento in cui i loro dati vengono conservati o trasferiti negli Stati Uniti.

Le motivazioni alla base del regolamento

Nel testo del Regolamento n.679/2016 vengono chiarite in maniera estesa le notevoli motivazioni che hanno portato alla redazione dello stesso:

  • L’aumento dei flussi transfrontalieri (e quindi dei dati personali scambiati)
  • La rapidità dell'evoluzione tecnologica e della globalizzazione
  • L’aumento della condivisione e della raccolta di dati personali
  • La necessità di facilitare maggiormente la libera circolazione dei dati personali all'interno dell'Unione garantendo al tempo stesso un elevato livello di protezione dei dati personali
  • L’armonizzazione delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l'Unione
  • L'esigenza di un clima di fiducia al fine dello sviluppo dell'economia digitale in tutto il mercato interno per incoraggiare altresì i mercati ed il business.

Da rilevare che gli obiettivi ed i principi della Direttiva 95/46/CE rimangono ad oggi ancora validi, però la stessa ed in quanto Direttiva, ha portato verso una frammentazione nell'applicazione della protezione dei dati personali nel territorio dell'Unione.

Attualmente non vi sono difficoltà nell'affermare che sussiste nei soggetti, una diffusa percezione di incertezza giuridica ed in particolare che le operazioni online comportano gravi rischi per la protezione delle persone fisiche.

Negli Stati membri vi sono normative diverse e coesistenti con diversi livelli di protezione dei diritti, delle libertà e del diritto alla protezione dei dati personali: ciò può ostacolare la libera circolazione dei dati personali all'interno dell'Unione.

Di conseguenza, tali differenze possono costituire un freno all'esercizio delle attività economiche nell'Unione e falsare la concorrenza.

Vi è quindi la necessità di rafforzare i diritti esistenti con un maggiore controllo da parte dei soggetti sui propri dati personali.

A chi si applica il GDPR?

La protezione del Regolamento n. 679/2016, si applica alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza ma non disciplina il trattamento dei dati personali relativi a persone giuridiche; non si applica inoltre ai dati personali delle persone decedute ma i singoli Stati dell’Unione Europea naturalmente possono prevedere norme in tal senso.

Maggiori tutele invece sono previste per i minori.

Cos’è il GDPR?

GDPR: alcune definizioni fondamentali

1. Dato personale

Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»). Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

2. Trattamento

Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.

3. Titolare del trattamento

La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri.

4. Consenso dell'interessato

Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

GDPR: le sanzioni previste

Il predetto Regolamento prevede inoltre in maniera dettagliata le diverse sanzioni che possono essere applicate tenendo conto di ogni singolo caso specifico: vi sono sanzioni amministrative pecuniarie in misura fissa oppure determinate con una percentuale sul fatturato annuo dell’impresa in base alla gravità delle violazioni stesse.

All’art. 83 “Condizioni generali per infliggere sanzioni amministrative pecuniarie” si specifica che:

"... le sanzioni amministrative pecuniarie sono inflitte in aggiunta alle misure di cui all’art. 58 paragrafo 2 lettere da a) ad h) e j) o in luogo di tali misure".

La violazione di alcune disposizioni è soggetta a sanzioni amministrative pecuniarie fino ad Euro 20.000.000 o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente se superiore.

L’art. 83 al comma 9 specifica che:

"...se l'ordinamento giuridico dello Stato membro non prevede sanzioni amministrative pecuniarie, il presente articolo può essere applicato in maniera tale che l'azione sanzionatoria sia avviata dall'autorità di controllo competente e la sanzione pecuniaria sia irrogata dalle competenti autorità giurisdizionali nazionali, garantendo nel contempo che i mezzi di ricorso siano effettivi e abbiano effetto equivalente alle sanzioni amministrative pecuniarie irrogate dalle autorità di controllo. In ogni caso, le sanzioni pecuniarie irrogate sono effettive, proporzionate e dissuasive. Tali Stati membri notificano alla Commissione le disposizioni di legge adottate a norma del presente paragrafo al più tardi entro 25 maggio 2018 e comunicano senza ritardo ogni successiva modifica".

L’art. 84 “Sanzioni” prevede inoltre che:

"...gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell'articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l'applicazione; tali sanzioni devono essere effettive, proporzionate e dissuasive; ogni Stato membro poi notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 al più tardi entro 25 maggio 2018, e comunica senza ritardo ogni successiva modifica".

I cambiamenti richiesti dal GDPR

La nuova normativa richiede interventi di natura tecnica e organizzativa con un radicale cambio di mentalità: a titolo esemplificativo dalla data del 25 maggio 2018 non sarà più possibile utilizzare dati esistenti a meno che naturalmente, non siano conformi ai requisiti del Regolamento.

Non si potrà più inviare alcuna comunicazione di marketing a maggior ragione se di tipo personalizzato, in funzione dei dati che si possiedono che non rispettano le condizioni di cui al Regolamento.  

Vi sono dei principi che vanno a modificare lo stesso modo di progettare i trattamenti dei dati, art.25:

“Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” prevede che (…) il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. 2.Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica. (...)"

Sarà necessario quindi richiedere agli interessati tutte le autorizzazioni necessarie al fine di svolgere le diverse attività in modo conforme al Regolamento Ue altrimenti le aziende si esporranno a notevoli rischi con la conseguente applicazione di multe e rilevanti danni di immagine.

L’impatto sulle aziende

Come ogni altro cambiamento, anche il GDPR porta con sé un momento di frizione che va di pari passo con le nuove opportunità create da questo Regolamento.

E' vero, l'entrata in vigore del GDPR significa dover sistemare e aggiornare i propri database e chiedere consensi e conferme agli utenti ma allo stesso tempo rappresenta un'occasione unica per migliorare la qualità dei dati raccolti

Le persone che acconsentiranno al trattamento dei dati saranno persone più informate e consapevoli del fatto che l'azienda potrà gestire le loro informazioni di contatto per un periodo di tempo determinato stabilito dall'azienda che potrebbe coincidere anche con "fino alla rimozione del consenso". 

Inoltre, le persone che forniranno il consenso dovranno essere messi al corrente di eventuali automatismi e sistemi di profilazione attivi per garantire una comunicazione maggiormente personalizzata.

L’impatto sulle persone

Da alcuni studi e fonti statistiche è emerso che i consumatori, venuti a conoscenza dell’imminente entrata in vigore del Regolamento UE n.679/2016, si sono espressi in senso favorevole allo stesso, manifestando tra l’altro l’esigenza di una modifica delle normative in essere e maggiore trasparenza nei rapporti con le imprese. 

Stando ad una ricerca svolta da HubSpot, infatti, il 90% degli intervistati vede di buon occhio l'entrata in vigore del GDPR.

La maggior parte di queste persone vorrebbe smettere di ricevere comunicazioni da parte dell'aziende, il 59% di essi richiederebbe la cancellazione definitiva dei propri dati e il 55% vorrebbe avere accesso ai dati raccolti sulla propria persona.

In generale, le persone sentono di ricevere un numero troppo elevato di comunicazioni da parte dell'aziende e la maggior parte di essi eseguirebbe un opt-out se ne avesse la possibilità. 

cos'è gdpr

Come dovrebbe comportarsi la tua azienda?

Il primo passo fondamentale è quello di assicurarsi di aver raccolto i dati in conformità con il nuovo Regolamento prima del 25 maggio 2018.

In caso di difformità sarebbe necessario ottenere nuovamente il consenso al trattamento dei dati in conformità con la nuova normativa. 

L’entrata in vigore del GDPR rappresenta un’occasione unica per raccogliere contatti di qualità. Allo stesso tempo, però, è fondamentale assicurarsi di informare correttamente le persone nel momento in cui viene richiesto il loro consenso.

Probabilmente ti starai chiedendo se la nuova normativa (e le sue nuove richieste) si applicano indifferentemente a piccole e grandi imprese. La risposta è "non proprio".

L'articolo 40 del Regolamento, infatti, invita tutti gli Stati membri dell'unione Europea e le relative autorità di controllo all'elaborazione di specifici codici di condotta a seconda dei settori di appartenenza dell'impresa e alle esigenze specifiche della micro, piccola e media impresa.

Questa precisazione va senz'altro incontro alle esigenze di imprenditori di realtà poco strutturate che con le loro capacità non sarebbero in grado di adempiere a tutte le richieste del Regolamento.

Le principali direttive da seguire per le PMI

1. Scelta di un cloud sicuro

Il titolare del trattamento del dato, persona fisica o giuridica, è obbligato a scegliere un Responsabile del trattamento del dato in grado di proteggere adeguatamente i dati raccolti grazie alle proprie strutture organizzative. Questo principio si applica anche a tutte quelle struture di dimensioni minori che utilizzano dei software in cloud per la conservazione dei dati a fini commerciali. Approfonidisci come HubSpot protegge i dati dei cittadini dell'Unione Europea.

2. Applicazione di una cifratura

La nuova normativa richiede la cifratura e la pseudonomizzazione dei dati, nei limiti delle possibilità aziendali

3. Privacy Impact Assessment

Ogni azienda dovrà applicare una serie di processi funzionali all'analisi dei rischi connessi alla raccolta e conservazione dei dati e individuare le misure adatte a proteggerli.

4. Violazione dei dati

A partire da maggio 2018, in caso di violazione dei dati, le aziende italiane dovranno notificare al Garante per la Protezione dei dati Personali ogni violazione subita.

Il meccanismo di segnalazione delle violazioni subite

In particolare, nella notifica inviata al Garante per la protezione dei dati Personali dovranno essere precisati:

  • La natura della violazione
  • La categoria dei dati violati
  • Il numero approssimativo delle persone interessati
  • I dati del responsabile della protezione dei dati con cui approfondire l'accaduto
  • Le misure adottate dall'azienda o dal titolare del trattamento dati per impedire le violazioni o attenuarne il rischio.

L'intera procedura di notifica dovrà avvenire entro le 72 ore successive alla violazione, per questo motivo è importante che tutte le aziende siano già organizzate per gestire situazioni similari. Inoltre, tale notifica non sarà necessaria solamente in caso di attacchi ai database, ma anche in caso di perdita di dati per cause diverse dall'attacco di un hacker come il furto o la perdita di un portatile in uso dei dipendenti.

Inoltre, nel caso in cui i dati conservati presentino un rischio tale da poter ledere la libertà personale in caso di furto, è essenziale che l'azienda abbia già definito un processo specifico per notificare i diretti interessati, informandoli su come diminuire gli effetti della violazione.

Tuttavia, la notifica alla persona fisica i cui dati sono stati violati può essere evitata se:

  • Il titolare del trattamento dei dati aveva previsto misure adeguate alla loro protezione e tali misure erano state applicate ai dati violati
  • Il titolare del trattamento dei dati ha adottato misure mirate a scongiurare il rischio di lesioni delle libertà personali
  • La comunicazione al singolo implicherebbe sforzi eccessivi. In tal caso potrebbe bastare una comunicazione pubblica (o simile) adatta ad avvisare tutti gli interessati
  • I contenuti violati sono interamente cifrate

Sei sicuro che la tua azienda renda disponibile tutta la documentazione necessaria ai propri utenti e di aver previsto tutti i processi necessari alla corretta gestione dei dati?

 


Cerchi supporto per la tua strategia e attività di marketing e vendita a norma GDPR?

CONTATTACI PER UNA CONSULENZA GRATUITA »

 

*Adv Media Lab srl non risponde di danni derivanti dall'uso dei dati e delle notizie ivi contenuti; non risponde di eventuali danni causati da involontari refusi o errori di stampa; declina ogni responsabilità per l'uso delle suddette informazioni, per eventuali errori e/o contenuti inesatti.

 

Ora è il tuo turno: lascia un commento

 

 

ombrina.jpg

Sei un imprenditore o un marketer in cerca di risultati?