a cura di Mauro Minniti
Restare aggiornati sui principali cambiamenti del mondo digital, in epoca di Big e Small Data, è fondamentale. Un’intervista a mauro Minniti per capire in dettaglio il nuovo regolamento, da interpretare come vera e propria competenza distintiva.
Il NUOVO REGOLAMENTO EUROPEO SUL TRATTAMENTO DEI DATI (GDPR)
Il Regolamento Generale sulla protezione dei dati (GDPR – General Data Protection Regulation) entrerà in vigore il 25 maggio 2018 in tutti i Paesi membri dell’Unione Europea. Il Regolamento fissa obblighi e controlli sul trattamento e la gestione dei dati dei cittadini europei. Il GDPR (General Data Protection Regulation) riguarda appunto la protezione dei dati e la gestione della privacy.
A chi si applica la nuova normativa europea?
I soggetti interessati dalla legge sono la PA, le PMI e tutte le aziende all’interno dei confini dell’Unione Europea. In particolare dal punto di vista del business, tutte le aziende che offrano servizi o prodotti a persone fisiche all’interno dell’Unione Europea e che trattino dati personali saranno tenute all’adeguamento rispetto al Nuovo Regolamento Europeo sul Trattamento dei dati Personali (c.d. GDPR). Il Regolamento si applicherà sia alle aziende con sede nell’Unione Europea sia a quelle che, pur avendo sede al di fuori della UE, elaborino dati dei cittadini di uno Stato membro.
Cambiamenti pratici per le aziende?
Le aziende sono chiamate a rivedere i propri sistemi di gestione dei dati all’interno dell’organizzazione, prevenire la perdita dei dati e la loro condivisione. I siti, le app, le newsletter ai clienti e tutte quelle piattaforme che l’azienda utilizzi per il trattamento dei dati personali, dovranno implementare la protezione dei dati personali tra le impostazioni predefinite (Privacy by default) sin dalla fase di progettazione del trattamento (Privacy by design).
Il Data Protection Officer (DPO)
Per alcune tipologie di aziende, a seconda dell’attività da esse svolta, e dal numero di dipendenti sarà obbligatorio nominare un Data Protection Officer (DPO). La sua responsabilità principale è quella di valutare ed organizzare la gestione del trattamento di dati personali all’interno di un’azienda (sia essa pubblica che privata), affinché il trattamento di questi sia effettuato nel rispetto delle normative privacy europee e nazionali.
Quali sono i dipartimenti coinvolti dell’azienda?
Nella nuova era dell’economia digitale i dati sono fondamentali per molti processi di business, prodotti e servizi. Questo è il motivo per cui l’implementazione del GDPR deve essere uno sforzo collettivo di tutta l’azienda. Non deve quindi riguardare solo il DPO od il Chief Data Officer (CIO), ma deve coinvolgere tutti i reparti dell’azienda, dalla produzione all’HR, fino ad arrivare all’Amministratore Delegato o General Manager.
Quanto tempo hanno le aziende per adeguarsi? Cosa rischiano?
Termine ultimo per adeguarsi alla normativa GDPR è il 25 maggio 2018; in caso di mancato rispetto del regolamento, la sanzione può arrivare fino a 20 milioni di euro, o fino al 4% del volume d’affari globale registrato nell’anno precedente. Comunque sia ogni violazione, distruzione, modifica, o divulgazione non autorizzata dei dati personali (Data Breach) dovrà essere notificata al Garante, entro il termine massimo di 72 ore.
Un caso concreto. Cosa cambierà per il Marketing aziendale?
Qualora un’azienda avesse ottenuto il consenso all’invio di comunicazioni ai fini di marketing, potrà continuare a fare affidamento su tale consenso solo qualora il consenso ottenuto prima del GDPR sia stato ottenuto con uno standard GDPR – cioè il consenso era “non ambiguo” e dimostrabile (cioè controllabile) in linea con i requisiti dell’Art . 7 GDPR. Poiché questi requisiti non si applicavano prima del GDPR, per la maggior parte delle aziende ciò vorrà dire che i consensi ottenuti prima del GDPR non saranno più validi, una volta che il GDPR entrerà in vigore. Andrà quindi ottenuto un nuovo consenso valido e conforme ai requisiti del GDPR.