25 maggio 2018: finalmente è giunta la fatidica data attesa, spesso con timore, da piccole e medie imprese, dai freelance e anche da colossi come Facebook e Google. Da oggi il nuovo regolamento sulla protezione dei dati voluto dall’UE è in vigore e, a differenza della cosiddetta “Legge Cookie” del 2014, impone che le aziende mettano a punto dei piani di adeguamento attenti e tempestivi. Se n’è parlato molto in questi mesi, soprattutto dopo il caso Cambridge Analytica e le novità proposte sempre da Zuckerberg in fatto di privacy, anche perché il GDPR rappresenta una vera e propria svolta decisiva su uno dei temi più controversi e discussi, il trattamento dei dati e la cybersecurity. Niente panico, però perché c’è ancora tempo per adeguarsi, la data è slittata al 21 agosto, poiché in parlamento mancano i pareri delle Commissioni. Conviene organizzarsi per evitare, in seguito ai controlli che vi saranno, multe e sanzioni.
Chi dovrà affrontare il cambiamento?
Cosa cambia per le aziende in pratica?
Si gioca in difesa. Uno degli aspetti importanti è proprio la prevenzione, il pensare in anticipo alle conseguenze di determinate azioni e all’impatto che possono avere in futuro, nel breve e nel lungo periodo. Infatti, due concetti fondamentali del nuovo regolamento sono:
- Privacy by Design: nelle prime fasi di progettazione di un progetto informatico, le problematiche relative alla privacy devono essere affrontate da subito per valutarne l’impatto.
- Privacy by Default: il titolare deve essere in grado di fornire agli interessati un progetto con impostazioni di default che proteggono la privacy.
Un registro chiaro e semplice
Sempre su questa base, le aziende devono predisporre un registro delle operazioni di raccolta dei dati all’interno del quale viene spiegato, con un linguaggio chiaro e semplice:
- quali dati vengono trattati
- le finalità del trattamento
- chi accede ai dati all’interno e all’esterno della azienda
- se avviene il trasferimento dei dati all’estero
- se si adotta una politica di data retention – conservazione dei dati entro un tempo massimo
L’importanza di una nuova figura professionale: il Data protection officer
Entra, inoltre, in vigore la figura del Dpo, ossia un data protection officer, un responsabile per la protezione dei dati. Nominarne uno non è necessario se l’impresa non monitora regolarmente i dati su larga scala e non tratta dati sensibili, ma è obbligatorio, secondo le indicazioni del Garante, nei casi di “trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti”.
Dove trovare più informazioni?