GDPR, istruzioni per l’uso. È arrivato il decreto legislativo n. 101, ma tu sei pronto?
4 settembre 2018, sulla Gazzetta Ufficiale compare il tanto atteso decreto legislativo n. 101. La nuova era della privacy è ufficialmente iniziata anche in Italia. Ora non ci sono più scuse per temporeggiare! Le aziende italiane che non si sono ancora adeguate alla nuova normativa rischiano pesanti sanzioni fino a 20 milioni di euro o il 4% del fatturato globale.
Non sei ancora pronto? Niente panico! L’entrata in vigore sarà graduale. Infatti, durante questi primi 8 mesi, il Garante afferma che nell’erogare le sanzioni terrà conto del fatto che ci si trova ancora in una fase iniziale di attuazione. Se non hai ancora iniziato il processo di adeguamento alla GDPR per la tua azienda, non perdere altro tempo.
Decreto n. 101 e PMI
Il 25 maggio 2018 è entrato in vigore il Regolamento Generale sulla Protezione dei Dati (GDPR) elaborato dalla Commissione Europea.
Il regolamento punta principalmente a dare ai cittadini europei il completo controllo sui propri dati personali, oltre a semplificare il quadro normativo per le imprese che gestiscono tali dati. Le modalità con cui l’Italia adegua la propria normativa al Regolamento sono sancite nel decreto legislativo del 20 agosto n.101, approvato dal Consiglio dei Ministri nel mese di agosto, che entrerà in vigore a partire dal 19 settembre 2018.
Fin da subito emerge la particolare attenzione prestata al panorama delle imprese italiane, composto per lo più da piccole/medie imprese. Di fatti, Il decreto prevede l’introduzione di linee guida semplificate create per facilitare l’adeguamento alla nuova legge per le PMI (micro, piccole e medie imprese). Il decreto parla chiaro…sarà responsabilità diretta del Garante formulare tali linee guida.
Facciamo chiarezza…Chi è il Garante?
<<Art.153 (Garante per la protezione dei dati personali). – 1. Il Garante è composto dal Collegio, che ne costituisce il vertice, e dall’Ufficio. Il collegio è costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato della Repubblica con voto limitato. […] Le candidature possono essere avanzate da persone che assicurino indipendenza e che risultino di comprovata esperienza nel settore della protezione dei dati personali, con particolare riferimento alle discipline giuridiche e dell’informatica.>>
Il Garante si occuperà di controllare che i trattamenti dei dati personali vengano effettuati in conformità con la nuova legge, e di sanzionare chi non la rispetta. Inoltre, il decreto sottolinea più volte che chiunque potrà presentare un reclamo al Garante in caso di violazione dei diritti in materia di protezione dei dati personali.
I reclami dovranno essere quanto più dettagliati possibile, e provvisti di documentazione/prove a supporto della denuncia. Nel decreto sono chiaramente indicati i tempi di risposta del Garante, che non potranno essere superiori a 9 mesi dalla data di presentazione, salvo motivate esigenze istruttorie che possono prolungare i tempi decisionali fino a 12 mesi.
Alcune importanti novità
Nella nuova era della privacy il consenso al trattamento dei dati personali può essere espresso già dal compimento dei 14 anni. A tal proposito, il decreto sottolinea l’importanza di adottare un linguaggio semplice e chiaro che permetta a tutte le fasce di età di consentire o rifiutare consapevolmente il trattamento.
Questo requisito risulta fondamentale anche nei casi in cui viene richiesto il consenso all’utilizzo dei dati per finalità di invio di materiale pubblicitario, di vendita diretta, di comunicazioni commerciali e per ricerche di mercato. In mancanza di un linguaggio adeguato, il consenso viene considerato nullo. Addio quindi a giochi di parole e significati nascosti. Benvenuta trasparenza e serietà!
Altre novità interessanti riguardano l’ereditarietà dei dati e il divieto al trattamento dei dati personali. Il decreto puntualizza che in caso di decesso, i dati dell’interessato potranno essere esercitati “da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.
I dati personali entrano così a far parte dell’asse ereditario. Per quanto riguarda la volontà di vietare il trattamento dei propri dati, il decreto non lascia dubbi.
L’interessato ha il diritto di vietare il trattamento dei propri dati attraverso dichiarazione scritta presentata al titolare del trattamento. Ancora una volta emerge l’importanze di comunicare attraverso un linguaggio chiaro e trasparente, la volontà di vietare il trattamento deve infatti <<essere espressa in modo non equivoco e deve essere specifica, libera e informata>>.
L’interessato ha il diritto di revocare o modificare il divieto in ogni momento.
Degni di nota sono anche i passi in avanti che si faranno, grazie alla nuova normativa, in tema di dati biometrici e tecniche di cifratura. Per una maggiore sicurezza nella protezione del dato, il decreto promuove l’utilizzo di tecniche di cifratura e di pseudonomizzazione.
Quest’ultima consiste nel modificare e mascherare i dati personali e sensibili di una persona fisica, senza l’utilizzo di informazioni aggiuntive, allo scopo di non renderli direttamente e facilmente attribuibili allo stesso. Si tratta di un metodo molto efficace per limitare il rischio di violazioni della privacy e di furti d’identità.
Queste sono solo alcune delle molte novità introdotte dal GDPR. La nuova normativa sul trattamento dei dati riguarda da vicino tutte le aziende che, in modi diversi e per svariate ragioni, si ritrovano a trattare i dati personali di clienti, dipendenti, fornitori ecc… Le cose si fanno serie, la Privacy non è uno scherzo e l’Italia è pronta a punire chiunque non rispetti la nuova normativa.
Se non ti sei ancora adeguato alle novità introdotte dal GDPR, è arrivato il momento di farlo affidandoti a professionisti ed esperti del mestiere.