GDPR è l’acronimo di General Data Protection Regulation (Regolamento Generale sulla
Protezione dei Dati – Regolamento Europeo UE 2016/679). L’obiettivo di questa nuova legge sulla privacy è quello di permettere ai cittadini europei di avere un controllo maggiore sul modo in cui singoli, aziende ed enti pubblici raccolgono e utilizzano i loro dati personali.
In vigore dal 2016 e applicabile dal 25 maggio 2018 in tutta l’Unione europea, la GDPR, quindi, è la fonte principale che regolamenta il trattamento e la protezione dei dati personali. Chi effettua trattamenti di dati personali, il c.d. titolare del trattamento, deve essere in grado di comprovare che i dati sono trattati in conformità al GDPR (c.d. principio di accountability). Il trattamento, inoltre, deve essere conforme alla normativa nazionale vigente in materia privacy, che in Italia trova principale riferimento nel Codice in materia di protezione dei dati personali (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018) e nei Provvedimenti dell’Autorità garante per la protezione dei dati personali.
Il GDPR definisce “dato personale” qualsiasi informazione riguardante una persona fisica identificata o identificabile (c.d. “interessato”), cioè persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Il GDPR enuncia i seguenti principi generali a cui deve essere improntato il trattamento dei dati personali, del cui rispetto il titolare del trattamento deve dare prova:
– liceità, correttezza e trasparenza del trattamento nei confronti dell’interessato;
– limitazione della finalità del trattamento;
– minimizzazione dei dati;
– esattezza e aggiornamento dei dati;
– limitazione temporale della conservazione;
– sicurezza, integrità e riservatezza.
Chiunque tratta dati personali, salvo alcuni casi espressamente previsti, deve rispettare il GDPR e la normativa vigente in materia privacy. Pubblica amministrazione, imprese, professionisti sono pertanto chiamati a conformare il trattamento dei dati al GDPR e alla normativa privacy. Se tratti dati che ti sono stati conferiti dall’interessato o che hai raccolto presso terzi sei chiamato a svolgere determinate attività per essere compliant al GDPR.
Il titolare del trattamento deve:
– rispettare i principi fissati dal GDPR e garantire agli interessati tutti i diritti previsti;
– individuare i rischi connessi al trattamento dei dati e svolgere una valutazione d’impatto (DPIA);
– redigere in forma scritta e tenere aggiornato il registro dei trattamenti dei dati personali; – garantire la sicurezza dei dati, implementando misure adeguate per la protezione di dati volte ad evitare data breach;
– nominare il responsabile della protezione dei dati (DPO – Data Protection Officer), nei casi in cui è obbligatoria la nomina o comunque ritenuta opportuna.
Il GDPR definisce “trattamento” qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. Pertanto, chiunque si trova a svolgere una delle operazioni descritte sta trattando, come titolare o responsabile, dati personali.
Imprese, professionisti e pubblica amministrazione nello svolgimento delle loro attività trattano necessariamente dati personali e, pertanto, sono destinatarie delle norme previste dal GDPR e dalla normativa nazionale in materia privacy. Indipendentemente dalla loro dimensione e dalla tipologia di attività che svolgono, sono ugualmente obbligate a rendere agli interessati le informative privacy prescritte, implementare sistemi di sicurezza per la protezione dei dati, dotarsi di strumenti volti a garantire l’applicazione dei principi enunciati dal GDPR e l’esercizio da parte degli interessati dei diritti a loro riconosciuti. In alcuni casi possono essere chiamate a dotarsi del DPO e del registro dei trattamenti. Svolgere la propria attività rispettando la privacy degli utenti, oltre che essere un obbligo legale, è fondamentale per preservare e migliorare la reputazione pubblica dell’impresa, del professionista o della pubblica amministrazione.
La navigazione su un sito web potrebbe comportare trattamento di dati personali. L’indirizzo IP e ogni altro elemento che possa identificare o rendere identificabile l’utente è, infatti, un dato personale.
Il sito internet, quindi, come ogni altro strumento che realizzi trattamenti di dati personali, deve necessariamente conformarsi al GDPR e alla normativa privacy. Ogni sito internet dovrebbe infatti avere:
– privacy policy;
– cookie policy;
– informative per particolari trattamenti;
– note legali;
– sistemi di sicurezza – certificati;
– sistema di gestione dei dati personali e dei diritti degli interessati. Un sito internet che non rispetta la normativa privacy, oltre ad andare incontro alle medesime sanzioni previste per tutti i casi di trattamento illegittimo di dati personali, danneggia la reputazione del prodotto che contiene o del business a cui si riferisce.
Il marketing è sicuramente una delle attività maggiormente impattate dalla nuova normativa, basandosi principalmente sul trattamento dei dati personali e, in taluni casi, andando a profilare gli utenti al fine di rendere più mirata l’attività promozionale. Per chi svolge campagne di marketing, e per continuare a farlo, è fondamentale che impronti la sua attività nel rispetto, fin dalla progettazione, della normativa privacy. Informare correttamente gli utenti, ottenere e registrare il consenso al trattamento (ove necessario come base giuridica) e la revoca dello stesso, proteggere i database per evitare dispersioni di dati, sono solo alcune delle attività richieste a chi si occupa di marketing.
– Consulenza in materia privacy
– Redazione di informative privacy
– Privacy e cookie policy per siti web
– Supporto alla tenuta del registro dei trattamenti
– Redazione di policy aziendali (ad. es. policy data breach)
– Supporto per la creazione di campagne di marketing nel rispetto della privacy
– Predisposizione degli accordi con i contitolari e nomina dei responsabili del trattamento
– Audit periodici per la verifica della conformità al GDPR e alla normativa nazionale
– Formazione su GDPR e normativa nazionale privacy.
© 2021 © – Tutti i diritti sono riservati – LFM Consulting srls – P.Iva 10975800961