COME ADEGUARSI AL GDPR

di Federica Ballacci

COME ADEGUARSI AL GDPR

Dal 25 maggio 2018 i titolari di siti web che trattino dati sensibili dovranno essere in regola con le nuove norme sulla privacy previste dal Regolamento Generale per la Protezione dei Dati - o GDPR in inglese - che proprio in quella data diverrà effettivo a livello europeo .

Quindi, chiunque sia già titolare del trattamento di dati personali, dovrà adeguarlo ai nuovi obblighi assicurandosi della liceità del trattamento di cui si prende carico a partire dal consenso dell’interessato e dall'informativa da fornirgli.

In particolare, per ciò che concerne il consenso, questo deve essere esplicito, inequivocabile e facilmente distinguibile da altre richieste o dichiarazioni sottoposte all’interessato. Non è ammesso il consenso tacito o presunto. Sebbene il regolamento non imponga che il consenso sia scritto esso deve tuttavia avere le caratteristiche appena descritte ed il titolare deve essere in grado di dimostrare - secondo l’articolo 7.1 - “che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali” riguardo ad uno specifico trattamento. Vien da sé perciò che la forma scritta risulta, a tal fine, la più idonea a dimostrare l’inequivocabilità del consenso.

Quanto all’informativa, questa deve avere una forma concisa, trasparente, intellegibile per l’interessato e facilmente accessibile. Deve quindi presentare un linguaggio chiaro e semplice, comprensibile anche ai minori (dai 16 ai 18 anni). L’informativa va fornita in linea di massima per iscritto e, preferibilemnte, in formato elettronico. Il Regolamento ammette inoltre anche l’uso di icone  - definite dalla Commissione Europea e valide in tutta l’UE - per presentare i suoi contenuti in forma sintetica ed intellegibile. Quanto ai contenuti invece l’informativa dovrà tassativamente fornire i dati di contatto del Responsabile della Protezione dei Dati- o DPO - ove esistente, la base giuridica del trattamento, quale sia ilsuo legittimo interesse qualora quest’ultimo ne costituisca la base giuridica- Deve altresì indicare l’intenzione di trasferire i dati personali in Paesi terzi e, in caso, con quali strumenti. Tra le altre informazioni che devono essere contenute nell’informativa affinchè questa garantisca un trattamento dei dati corretto e trasparente, deve essere indicato anche il periodo di conservazione dei dati o, almeno i criteri per stabilire questo periodo. Deve essere infine esplicitala possibilità di far valere il diritto di presentare un reclamo di controllo o di poter richiedere al titolare la modifica o la cancellazione dei propri dati.

Tuttavia, la principale novità introdotta dal nuovo regolamento europeo sulla privacy è il principio di Responsabilizzazione  - o Accountability - di titolari o responsabili. In nome di questo principio, su cui il GDPR pone fortemente l’accento, queste figure sono chiamate, sotto la loro totale responsabilità, ad adottare dei comportamenti proattivi atti a ridurre al minimo i rischi legati al trattamento di dati sensibili. Il primo passo che titolari e responsabili devono compiere è l’utilizzo di valutazioni d’impatto che stabiliscano i reali rischi di un trattamento e che guidino il principio, anch’esso nuovo, della “privacy by design”  - o “data protection by default and by design” - sin dala fase di ideazione e progettazione di un trattamento.

Tutto ciò è regolato, oltre che dalle norme del GDPR, anche dalle linee guida che l’Autorità Garante metterà via via a disposizione delle aziende, delle imprese o delle attività che trattino dati personali.

E tuttavia le possibili ripercussioni di un trattamento inadeguato dei dati potrebbero rivelarsi anche molto pesanti. Ad iniziare dalle multe che il Regolamento stabilisce in cifre importanti. Si parla, a seconda della natura, della gravità e della durata dell’inadempienza, di cifre che possono raggiungere anche i 20 milioni di euro o arrivare fino al 4% annuo del fatturato totale dell’azienda o dell’impresa. Oltre, come si può immaginare, a ricavarne un danno d’immagine e, conseguentemente, di natura commerciale: le aziende che non rispettino i principi del GDPR e che siano sanzionate per questo, infatti, rischiano non solo di subire un danno anche molto ingente a causa della multa, ma di perdere anche clienti e possibilità di partnership con altre aziende.

Per scongiurare simili scenari Allit Srls  - azienda di consulenza e formazione informatica - mette a disposizione delle aziende e delle attività che non si siano ancora messe in regola con le nuove norme del GDPR la propria consulenza per assisterle nella messa in regola.

Potete contattarci al nostro numero 329/1621117 per avere maggiori informazioni oppure scriverci all'indirizzo info@allit.it.

TORNA AL BLOG



Articoli Simili