Esattamente due anni fa, il 25 maggio 2016, entrava in vigore la nuova legge sulla Privacy GDPR.
Dopo due anni entra in attuazione e possono iniziare le sanzioni. Questo obbliga, dal 25 maggio 2018, tutte le aziende a mettersi in ordine con le direttive del GDPR, General Data Protection Regulation, chiamata anche nuova Privacy 2018
Questo nuovo Regolamento europeo sulla protezione dei dati personali cambia alcuni aspetti della precedente legge sulla privacy D.Lgs 196/2003 senza abrogarla (a differenza della precedente legge 675/96 che era stata abrogata).
Cerchiamo di capire meglio cosa cambia e come adeguarci al nuovo regolamento europeo per la Privacy UE 2016/679 (GDPR Privacy 2018).
A chi si applica il nuovo regolamento?
Si devono adeguare al nuovo regolamento tutte le aziende ed organizzazioni che trattano dati personali o trattano comportamenti ai fini di attività e marketing, di persone residenti in Europa.
Quindi, sono esclusi i privati, ma si devono adeguare anche le piccole e medie imprese.
Cosa si intende per Dati personali?
Con la definizione “dati personali” il regolamento intende qualsiasi informazione che identifichi una persona e contribuisca a rivelare le sue abitudini, comportamenti, relazioni personali, situazione economica e di salute.
Quali sono le principali novità con l’entrata in vigore del GDPR?
Consenso ed informativa sulla privacy.
Riprendendo la normativa in vigore (D.Lgs. 196/2003 o Codice della Privacy) il trattamento dei dati deve seguire il rispetto dei diritti, delle libertà fondamentali e dignità dell’interessato, in particolare si richiede che il consenso deve essere esplicito: nel trattamento dei dati sensibili, consenso alla profilazione e ad altri trattamenti automatizzati.
Se il consenso è stato raccolto precedentemente all’entrata in vigore del GDPR, in maniera corretta e trasparente, potrà considerarsi ancora valido. Se così non fosse è necessario richiedere nuovamente il consenso al trattamento dei dati ai nostri contatti aziendali.
DPO e Registro
Il GDPR introduce l’obbligo di una nuova figura, il Data Protection Officer, in italiano Responsabile della Protezione dei Dati personali (RDP). Questa persona, interna o esterna all’azienda, deve redigere il Registro dei Trattamenti svolti ed adottare le misure adeguate a garantire la sicurezza dei dati gestiti all’interno dell’azienda.
Quali sono i diritti che devono essere garantiti?
I principali diritti previsti sono: il diritto di accesso ai dati, diritto alla portabilità e diritto all’oblio.
L’azienda è obbligata, su richiesta dell’interessato, a fornire una copia dei dati in suo possesso e comunicare come vengono conservati in azienda. Vengono introdotti anche il diritto alla portabilità dei dati, con cui si prevede la possibilità di spostare il trattamento dei propri dati personali ad un altro titolare ed il diritto all’oblio, la possibilità di richiedere la cancellazione completa dei propri dati personali.
Cos’è l’accountability?
Titolari e Responsabili del trattamento dati devono impegnarsi per trattare i dati personali in loro possesso e documentare come rispettano il Regolamento europeo:
Attivare adeguate misure di sicurezza per la protezione dei dati (Data Protection by design – Data Protection by default)
Valutazione del rischio sui diritti degli interessati
Predisporre un registro dei trattamenti
Documentare violazioni di dati personali e dare notifica all’Autorità e ai diretti interessati entro 72 ore (se c’è violazione e rischio per gli interessati).
Cosa sta facendo Paolucci Marketing per adeguarsi al GDPR?
Ci stiamo lavorando dal 2017 ed abbiamo recepito il nuovo Regolamento, abbiamo individuato il RDP interno e stilato un documento in cui descriviamo la nostra politica aziendale per la sicurezza delle informazioni dei nostri clienti e contatti. Nel documento elenchiamo tutti gli adempimenti e le procedure applicate per la gestione dei dati in azienda.
Cosa dovete fare per essere in regola con il GDPR?
Per tutti i soggetti con partita IVA, società e liberi professionisti, gli obblighi sono di analizzare chi gestisce i dati in vostro possesso e come vengono gestiti. In pratica gli aspetti più importanti riguardano:
- Valutate tutti i software con cui gestite dati e contatti: gestionali aziendali, servizi online ma anche documentazione cartacea. Per il gestionale confrontatevi con i vostri referenti informatici, per i servizi online potete rivolgervi a noi, per la documentazione cartacea adeguatevi con opportuni sistemi di sicurezza.
- Per quanto riguarda i dati su clienti e prospect valutate come li avete raccolti e se non siete sicuri di aver rispettato i princìpi del regolamento richiesti dal GDRP, chiedete ex novo il consenso esplicito al trattamento dei dati personali con un servizio di email marketing esistente o da attivare. Potete approfittarne per chiedere conferma delle informazioni in archivio e riconfermare le loro scelte (Repermissioning).
- L’obbligo di nomina di un RDP (Responsabile della Protezione dei Dati personali ), detto anche DPO (Data Protection Officer): se ritieni di non avere all’interno del tuo organico una figura adatta, rivolgiti a un esperto esterno.
Controllo della Informativa per la Privacy e, se necessario, adeguamento alla nuova normativa GDPR. - Affidarsi ad un esperto sul tema privacy e protezione dei dati. Le aziende specializzate sanno consigliarvi sulle migliori azioni da istraprendere per adeguare la vostra azienda al GDPR.
Siamo a vostra disposizione per chiarimenti e per valutare insieme al vostro consulente di fiducia le migliori azioni correttive.