Dal prossimo 25 maggio 2018 sarà possibile l’applicazione in tutti gli Stati membri del Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation), inerente alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.
Il GDPR nasce da mirate necessità, come indicato dalla stessa Commissione Ue, di certezza giuridica, armonizzazione e ulteriore semplicità delle norme sul trasferimento di dati personali dall’Ue verso altre parti del mondo.
È questo regolamento una risposta, valida e urgente, per competere con le sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, considerando le esigenze di tutela dei dati personali sempre più palpabili dai cittadini Ue.
GDPR: cosa cambia
Ecco dunque che operatori e imprese saranno costretti ad adeguare le proprie policy e i propri standard di privacy al contenuto delle nuove disposizioni. Un aspetto che il GDPR ha indicato in maniera mirata e di cui si dovrebbe sempre tener conto è quello della profilazione, ossia il trattamento automatizzato di dati personali con lo scopo di identificare e valutare alcuni degli aspetti personali relativi ad una persona fisica.
La novità sta nell’uso sempre più frequente di tecnologie (di Marketing automation) volte al targeting di clienti e consumatori, cioè ad individuare alcune delle loro caratteristiche, preferenze e abitudini. Di norma tali dati si usano per fornire servizi e prodotti su misura e in linea con le esigenze individuali dei soggetti, ma talvolta il trattamento di tali informazioni potrebbe avere risvolti negativi nella sfera dei soggetti profilati con conseguenze a livello sociale e relazionale.
GDPR: quali sono le principali peculiarità?
Il regolamento prevede alcune caratteristiche che hanno, anzi andranno, a rivoluzionare il trattamento dei dati:
- Il diritto all’oblio, ossia il diritto di “scomparire” online. È una novità inserita dal GDPR. Questo perché il consenso della persona interessata dovrà essere libero inequivocabile e sempre revocabile
- Privacy by Design: un concetto secondo cui le misure di protezione dei dati saranno le fondamenta dei processi aziendali, tenendo a cuore sempre e comunque la sicurezza dell’utente.
- Privacy by default: solo i dati strettamente necessari potranno essere raccolti.
- Il diritto di un individuo di ottenere le informazioni che un’azienda ha su di lui. Questo diritto è definito della “portabilità del dato”. La persona interessata ha, “diritto di ricevere i dati comunicati ad un titolare in formato elettronico, di uso comune, leggibile, e riutilizzabile per poterli conservare e/o trasferire ad altro titolare”
- Il diritto di un individuo di negare il consenso a posteriori per il trattamento dei dati.
- Il diritto di essere informato semplicemente del pericolo che si corre nel rilasciare i propri dati.
Le informative sul trattamento dei dati saranno inalterate ma verranno ampliate, includendo il tempo di mantenimento dei dati e i nominativi di chi li vede e controlla, con il nome del funzionario alla protezione dei dati.
Per quanto concerne la Breach Notifications, essa è la notificazione delle violazioni dei dati all’utente. La notifica potrà essere effettuata entro 72 ore dalla scoperta della violazione senza ritardi ingiustificati.
One stop shop, cos’è lo sportello unico
In presenza di eventuali difficoltà è stato introdotto lo “sportello unico” (one stop shop), che renderà più snella la gestione dei trattamenti e garantirà un approccio uniforme. Le imprese che hanno attività in più Stati Ue potranno avere come interlocutore il Garante Privacy del Paese dove hanno la loro sede principale.
In vero, almeno in Italia, oltre la metà delle aziende, così come le Pubbliche amministrazioni, non c’è ancora quella maturità di uniformarsi ai provvedimenti Ue in materia di data protection anche se il mancato rispetto prevede delle severe sanzioni previste.