Il 25 maggio 2018, è entrato in vigore il nuovo regolamento UE 2016/679 del 27 aprile 2016, meglio noto come GDPR (General Data Protection Regulation) sulla protezione dei dati.
Il coinvolgimento è per tutti coloro che trattano dati personali, non solo in area europea ma anche per le sedi legali extra-comunitarie che trattano i dati dei residenti nell’Unione europea, ad adempiere agli obblighi previsti dal regolamento.
La Commissione Europea vuole con il GDPR restituire ai cittadini il controllo dei propri dati personali e rendere omogenea la normativa sulla privacy all’interno dell’UE. In Italia infatti abroga le norme del decreto legislativo 196/2003.
GDPR e Data protection
Ancor prima dell’entrata in vigore, numerose sono state le informative che ci invitavano a prendere visione della nuova legge in materia di protezione dei dati poiché le aziende hanno cominciato a mobilitarsi da subito per adattarsi alle nuove regole.
In questo contesto si è sentita l’esigenza di avvalersi di personale tecnico come affiancamento nell’attuazione delle nuove procedure. Infatti, il solo testo della normativa risulta essere complesso da leggere per chi non ha conoscenze anche minime di nozioni regolamentari.
Inoltre, nessuno dei vari punti dichiara in maniera esplicita le differenze e le integrazioni rispetto al decreto legislativo in atto fino a qualche mese fa.
GDPR come funziona
Questa nuova legge tutela la protezione dei dati sensibili per tutti i cittadini europei. Chiunque abbia a che fare con le informazioni riguardanti i dati è tenuto a osservarla.
Qualunque società è pertanto obbligata a spiegare nel dettaglio a chiunque si interfacci con questa realtà, tutte le modalità di raccolta e trattamento dei dati.
In tal caso, il testo della legge non è chiaramente decifrabile da parte di tutti gli utenti, perciò sta a chi gestisce le informazioni raccolte, redigere documenti da controfirmare in un linguaggio semplice che spieghi anche come questi dati verranno utilizzati.
Se dovessimo rintracciare le novità introdotte dal GDPR potremmo riassumerle nei seguenti punti:
- Regole chiare e scritte su informativa e consenso
- Criteri di trasferimento dati al di fuori dell’UE
- Regolamentazione in caso di data breach (violazione dei dati)
- Consenso dettagliato per il trattamento dei dati per fini aziendali e commerciali
Protezione dei dati e regolamentazione
Al fine di trovarsi in regola con quanto stabilito dalla nuova legge, è bene capirne in funzionamento, in vista della sua attualizzazione in campo aziendale.
Appurato che il trattamento debba essere lecito e conforme agli scopi dichiarati e perseguiti da un dato ente, è necessario che sappiate come procedere nella gestione degli stessi, per non incorrere in sanzioni. In caso di violazione infatti, è necessario notificarlo entro 72 ore.
È importante che sappiate che l’archiviazione dei dati non consente, anche previa autorizzazione al loro trattamento, di poterli riutilizzare per scopi non pertinenti a quelli legittimati. Gli utenti pertanto, hanno il diritto ad essere informati sull’utilizzo dei propri dati, chiederne la rettifica oppure opporsi al trattamento degli stessi.
Anche in caso di trasferimento, è necessario tutelare l’integrità dei dati per evitare la perdita o la propagazione durante il passaggio.
Qualora lo scopo di una data società sia quello di riutilizzare i dati per scopi secondari, è necessario esplicitarlo tramite consenso scritto che va controfirmato dai diretti interessati.
Questa serie di passaggi, rendono indispensabile il ruolo di curatore per le grandi attività. Il responsabile della protezione dei dati infatti, viene nominato dall’organizzazione alla quale farà riferimento per gli aggiornamenti in materia.
Privacy by design e by default
L’articolo 25 introduce il concetto di “Privacy by design e by default” che impone di avviare un progetto preventivo nell’ottica del data protection.
In particolare, con il termine “design” ci si riferisce proprio a un disegno che anticipa l’attuazione delle norme. Dovete rendervi conto che la prevenzione, piuttosto che la correzione di errori che potrebbero diventare irreversibili, è fondamentale.
Il titolare del trattamento dei dati deve attuare fin da subito una serie di misure orientate alla trasparenza e alla centralità dell’utent,e ai fini di garantirgli la miglior sicurezza.
Il concetto di “by default” invece si traduce in un’impostazione prestabilita di trattare i dati solo per l’aspetto necessariamente professionale del proprio operato aziendale.
Al fine di garantire la miglior tutela a coloro che espongono le proprie informazioni personali a un determinato ente e per tutelare l’azienda nei confronti degli stessi e nella gestione di possibili errori di raccolta e trasmissione, è stata istituita la figura del Data protection officer.
Vediamo insieme perché è fondamentale e cosa potreste fare voi vestendovi di questo ruolo.
Ruolo del responsabile della protezione dei dati
Sicuramente avrete già sentito parlare di questa nuova figura di responsabilità in vista dell’attuazione del nuovo regolamento. Vi sarà un po’meno chiaro il suo ruolo, in quanto non definito in maniera del tutto esatta.
In realtà, prima di coniare questa espressione, esisteva già un funzionario di collegamento tra l’impresa e l’autorità competente. Ora però, è diventato un professionista visto come unico soggetto esperto sul tema.
Nel corpo del regolamento, questo individuo viene visto come consulente ufficiale per tutte le attività legate alla privacy. Vestendo questi panni, potrai diventare consigliere di varie questioni legali e di orientamento amministrativo.
Gli obiettivi: un corso mirato
Il ruolo del protettore dei dati è poliedrico. Molto spesso un background giuridico può aiutare, ma non è indispensabile per delineare la propria figura. I nostri corsi mirati forniscono i giusti mezzi e le tecniche per diventare competente nel settore.
Spesso l’aspetto fondamentale è dato dal rapporto con il settore IT. Anche in questo caso, le conoscenze pregresse possono agevolare ma non sono requisito indispensabile. Piuttosto, è consigliabile a chi ha una mentalità orientata alla comunicazione, particolarmente adatta per interfacciarsi con gli sviluppatori di questa area.
Il dialogo con il reparto IT si rivela vincente qualora il vostro cliente basasse tutta la sua struttura su software e tecnologie all’avanguardia.
La comunicazione è alla base della pianificazione e dell’analisi che permettono di svolgere questo lavoro con efficienza ma permette anche un lavoro di sensibilizzazione all’interno dell’azienda.
Se anche voi credete di essere buoni comunicatori e ottimi amministratori, questo lavoro può fare al caso vostro. Il nostro corso di Privacy & risk management, che permette di ottenere un certificato riconosciuto in materia di protezione dati, tratterà tutte le fasi della professione, dalla progettazione all’implementazione.
Vuoi approfondire le tematiche di Privacy e diventare un DPO (Data Protection Officer)?
Scopri il corso di Privacy Specialist DPO targato Musa Formazione.