Entra in vigore oggi il regolamento sulla protezione dei dati sensibili
di Michele Pinassi
SIENA. Gli addetti ai lavori aspettavano ormai da mesi il giorno limite per l’adeguamento alla nuova normativa europea 2016/679 “General Data Protection Regulation”, o GDPR. Molti altri si sono accorti che qualcosa stava cambiando per le decine di mail che avranno ricevuto in questi giorni sull’adeguamento alla nuova normativa sulla privacy dei dati personali: una delle grosse novità di questa normativa è l’obbligatorietà del consenso esplicito alla ricezione delle newsletter (non vale più la furbesca formula del “ti iscrivo e poi, se non vuoi, devi chiedermi di cancellarti”), strumento di marketing per le aziende che operano in Rete.
In breve, il GDPR è la normativa europea che cerca di porre finalmente delle regole comuni ai paesi UE sulla raccolta, gestione, uso e protezione dei dati personali. Si applica in particolare agli enti ed alle aziende, comprese le associazioni, ed in generale a tutti i soggetti giuridici che, in qualche modo e per qualche motivo, raccolgono dati che “hanno un potenziale impatto sulla vita privata”.
Il GDPR è un regolamento molto complesso, che conta ben 99 articoli suddivisi in 11 capi, i cui effetti saranno tangibili nei mesi e negli anni futuri ma che già dalla sua data ultima possibile per l’adeguamento, il 25 Maggio 2018, avrà effetti sulla nostra vita digitale. Ad iniziare, ad esempio, proprio dalla ricezione delle newsletter.
Per tutti noi comuni mortali, semplici utenti della Rete, i vantaggi più immediati e tangibili saranno nelle Privacy Policy, che il legislatore europeo impone che siano, finalmente, comprensibili: stop al burocratese spinto, alle pagine e pagine di scritte minuscole piene di clausole e rimandi normativi. Il GDPR prevede esplicitamente che la Privacy Policy, ovvero le regole che indicano quali dati personali saranno raccolti e come saranno trattati e conservati, debba essere:
- coincisa, trasparente, intellegibile e facilmente accessibile;
- scritta in un linguaggio chiaro e semplice, soprattutto se rivolta ad una utenza generica;
- consultabile liberamente;
L’obiettivo del legislatore europeo è semplice: dare un bel giro di vite all’uso indiscriminato dei nostri dati personali, raccolti attraverso gli strumenti informatici (che sia il motore di ricerca piuttosto che lo smartphone o una app di Facebook), legittimandolo attraverso lunghi contratti d’uso che nessuno si prende mai la briga di leggere, anche perché – appunto – spesso sono testi complessi e difficili da comprendere senza competenze specifiche.
Ovviamente, la Privacy Policy dovrà anche specificare come far valere i propri diritti in merito ai nostri dati, come il diritto all’oblio (ovvero il diritto del cittadino di richiedere la cancellazione dell’indicizzazione e della memorizzazione dei suoi dati personali e delle informazioni ad essi connesse) o semplicemente la modifica dei dati stessi.
Introdotto anche il principio di “portabilità dei dati“, trasferendoli da un titolare all’altro: una innovazione importante soprattutto per gli utenti dei social networks.
Tra le altre novità, come già anticipata, è l’obbligatorietà dell’opt-in per essere iscritti in una qualsiasi newsletter: stop quindi alle iscrizioni indiscriminate alla newsletter del “club di Nonna Papera”, che ogni lunedì mattina invia nella nostra mailbox le ricette della settimana senza averle mai richieste! In particolare, il regolamento prevede che il consenso debba essere:
- dato liberamente (stop, quindi, a caselline pre-spuntate o obbligatorie);
- informato, in modo chiaro, comprensibile e completo;
- esplicito (e non presunto);
- soggetto a prova, ovvero devono essere memorizzati gli estremi di quando e di dove il consenso è stato fornito;
Enti ed imprese, inoltre, dovranno ottemperare a tutta una serie di obblighi normativi piuttosto pesanti, dalla nomina di un DPO (Data Protection Officer) – figura di riferimento e referente per il Garante della Privacy – alla redazione di DPIA (Data Protection Impact Assessment) per tutte le situazioni in cui “il trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche“, ovvero i data breach (di cui, anche oggi, l’Italia è protagonista proprio con un portale ministeriale: impresainungiorno.gov.it.).
La valutazione dei rischi e l’adozione di misure di sicurezza è rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati e la descrizione di tutti i trattamenti effettuati è riportata nel registro delle attività di trattamento tenuto da tutti i titolari e i responsabili di trattamento. Questo registro è lo strumento indispensabile per ogni valutazione e analisi del rischio: deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al garante della Privacy.
Le sanzioni per le inadempienze, definite all’art. 83, sono molto pesanti: potranno arrivare fino al 4 per cento del fatturato globale annuo o 10 milioni di Euro. E tutte le autorità di protezione dati dei Paesi europei, che dovranno vigilare sull’attuazione del Regolamento, avranno i medesimi poteri e compiti, nell’ottica di omogeneizzare il più possibile l’attuazione della normativa.
Insomma, il GDPR rappresenta un milestone importante per tutti i Paesi dell’UE e per i loro cittadini, nella speranza che la tutela della privacy, la riservatezza e la protezione dei dati personali diventi finalmente realtà, scongiurando ulteriori casi come Cambridge Analytica.