GDPR, sei pronto?

 

GDPR blueknow

Tutti sappiamo che le leggi vanno sempre dietro ai progressi tecnologici e che a poco a poco si adattano per proteggere coloro che usano questi progressi. Bene, questo è quello che è successo con la Legge Organica sulla Protezione dei Dati, che è rimasta un po’ obsoleta. Pertanto, l’Unione Europea ha creato il GDPR, regolamento generale sulla protezione dei dati, anche se non sarà applicabile fino al prossimo maggio.

In questo post faremo un confronto su come cambierà la visione legale della protezione dei dati. La prima cosa che cambierà dalla LOPD al GDPR sono le restrizioni, mentre la vecchia legge era molto duttile, la nuova è molto più severa.

Nello stesso modo, variano gli attori che la legge considera responsabili e anche le loro funzioni. Nella LOPD venivano specificate quali sono le misure tecniche e organizzative per garantire il trattamento dei dati. Tuttavia, nel nuovo GDPR, il responsabile dei dati deve valutare quali misure intendono applicare al trattamento dei propri dati in base alla natura dei dati, al contesto in cui vengono raccolti e allo scopo per il quale intendono utilizzarli. Pertanto, le aziende in base al volume di dati che ottengono devono adottare misure diverse che non sono imposte, ciascuna società deve adattarsi alle proprie esigenze.

Un altro fattore che cambia è il principio della responsabilità proattiva, che specifica che il responsabile dei dati deve garantire di aver scelto il miglior gestore. I fattori chiave per affidare questo lavoro sono: i dati da trattare, lo scopo del trattamento e il tipo di trattamento. Alla fine ciò che si desidera è il coinvolgimento delle aziende nella scelta del gestore. Per questo, è meglio porre le seguenti domande: quali dati tratta la mia azienda e per cosa li voglio? Come li processa il gestore?

L’aspetto delle tipologie di dati nel GDPR scompare. La LOPD distingue tra dati di carattere con sensibilità di base, media e molto sensibile, ora che la categorizzazione scompare nel GDPR.

Un fattore molto importante che ci colpisce in modo significativo nell’e-mail marketing è il tipo di consenso richiesto dall’utente per la base di utilizzo dei dati. Nella LOPD era sufficiente un tacito consenso, al contrario al GDPR, è necessario esprimere il consenso, sebbene riservi il potere di avere i dati di qualcuno se c’è un interesse legittimo. Il fatto di trattare dati professionali solo per creare un contatto professionale può essere considerato un interesse legittimo, anche senza il consenso dell’interessato.

Tuttavia, esistono limitazioni allo scopo per cui i dati vengono raccolti. Solo i dati essenziali possono essere compilati, bisogna dire quale sarà il loro uso e il tempo necessario deve essere conservato per realizzare lo scopo per cui è stato dato il consenso. Il gestore dei dati è impegnato ad offrire garanzie di sicurezza. Il responsabile deve dimostrare che tutti i limiti e i principi siano soddisfatti.

Esiste una modifica anche per quanto riguarda l’età del consenso. Nella LOPD, l’età del consenso per l’elaborazione dei dati era di 14 anni. Invece nel GDPR è di 16 anni ma lascia la possibilità di cambiare in base agli Stati. Nel caso spagnolo, il disegno di legge prevede l’età del consenso a 13 anni.


Continuando con le differenze, l’elenco delle misure di sicurezza della LOPD scompare. Indica solo che le misure di sicurezza adottate devono essere appropriate in base al rischio. Anche se si obbliga a notificare guasti di sicurezza davanti all’autorità competente (Data Protection Agency) e prima non bisognava farlo.


Anche lo spazio per l’applicazione del trattamento sta generando dubbi. L’accordo con gli USA (Save Harbaur) è stato abrogato, perché era molto lassista nei problemi di protezione dei dati. Ma dal 2016 è in vigore un nuovo trattato (Privacy Shield) in cui le società statunitensi che lavorano con i dati personali dei cittadini europei si impegnano a rispettare le normative europee in vigore. In caso di trasferimento internazionale di dati di cittadini europei, questi saranno protetti se le società di elaborazione dati hanno firmato il Privacy Shield. Sarà necessario stare attenti con le aziende che firmano accordi per concedere loro la possibilità di trattare i tuoi dati poiché esiste solo un accordo con il Nord America.

Poiché alcune considerazioni sono state cancellate o modificate, il nuovo GDPR prevede due nuovi diritti:

  • Diritto all’oblio: il responsabile del trattamento dei dati deve cancellare i dati personali della persona che lo richiede senza indugio.
  • Portabilità dei dati: chiunque sia interessato può richiedere la portabilità di tutti i propri dati. Ciò implica che il gestore che li ha deve distruggerli.

Un’altra novità è il principio dello sportello unico (un unico supervisore in tutta Europa) che consente ad un’azienda che ha stabilimenti in diversi stati o che riguarda i cittadini di diversi stati, di avere una singola agenzia di protezione dei dati come interlocutore. Ciò implicherà in pratica la necessità di collaborazione tra agenzie di diversi stati, e in caso di discrepanza insormontabile, si può andare al Comitato Europeo di protezione dei dati, un’organizzazione composta dai direttori di tutte le agenzie di protezione dei dati dell’Unione, essendo le sue decisioni vincolanti per le agenzie di tutti gli stati.

Non ci sono minimi nell’ammontare delle penalità, ma se ha massimi più alti, sono collegati al volume del fatturato. Sebbene il regolamento sia più flessibile, dal momento che tiene conto di più elementi in modo che le sanzioni possano essere modulate. Gli importi possono raggiungere 20 milioni di euro o il 4% del fatturato annuale della società contraffatta, ad esempio se i dati vengono trasferiti a terzi senza consenso, o i dati vengono utilizzati per uno scopo diverso da quello autorizzato. Ma le sanzioni non saranno solo economiche, possono anche essere restrittive, nel senso di proibire un’azione o raccogliere determinati dati.

Il nuovo GDPR apporta cambiamenti significativi in termini di protezione dei dati, molte aziende sono già pronte a riceverlo e tu, sei pronto?

 

blueknow logo