Ultimo aggiornamento: 24 Ottobre 2022
Il 25 Maggio 2018 è entrato in vigore il primo aggiornamento degli
ultimi 20 anni alle leggi europee di protezione dei dati. Il
Regolamento Generale Protezione Dati (RGPD) dell’Unione Europea
sostituirà la Direttiva di Protezione dei Dati del 1995.
Il RGPD rafforza i diritti individuali in materia di protezione
dei dati personali e si prefigge lo scopo di armonizzare il modo
in cui vengono protetti dalle leggi in tutta Europa. Il
Regolamento si applica a tutti indifferentemente da dove i dati
vengano elaborati.
Alpha4All Italia e i suoi Partner si impegnano ad adempiere ai
loro doveri nel rispetto del RGPD e a verificare che i propri
partner e fornitori lo facciano a loro volta.
Consenso
Quando un individuo sta per lasciare le sue informazioni personali
il responsabile dei dati (solitamente una società) deve
assicurarsi che l’individuo abbia dato il consenso alla loro
elaborazione. Il RGPD ha alzato l’asticella per quanto riguarda il
rilascio di consenso, che deve essere “espresso dall'interessato
liberamente e specificamente in riferimento ad un trattamento
chiaramente individuato” e i responsabili devono usare un
linguaggio “chiaro e semplice”. I responsabili dei dati dovranno
anche documentare per iscritto la ricezione del consenso e fornire
un’informativa all’interessato in cui si spieghi esattamente lo
scopo del trattamento, quali dati verranno elaborati, a quale
scopo e con quali conseguenze.
Con le normative precedenti, il consenso poteva essere inferito
tramite un’azione o una mancanza di azione (es. Se continui ad
utilizzare questo sito, accetti le condizioni), lasciando spazio
all’interpretazione individuale. Il RGPD prevede invece il
consenso dato esplicitamente e in forma affermativa.
In sostanza, i clienti non possono essere forzati a dare il loro
consenso, o non essere consapevoli che i loro dati personali sono
stati elaborati. Devo anche sapere esattamente a che cosa stanno
acconsentendo e devono essere messi in condizione di cambiare idea
in qualsiasi momento. Il consenso deve quindi prevedere un’azione
- non può essere inferito dal silenzio, da caselle pre-selezionate
o dall’inattività. Questo significa che informare l’utente mentre
sta dando il suo consenso acquisisce un’enorme importanza.
Nuovi diritti per gli individui
Il regolamento accorda anche altri 2 nuovi diritti dell’individuo:
un diritto all’oblio, a cui i responsabili del trattamento devono
ottemperare in caso di richiesta, e un diritto all’accessibilità,
ovvero il diritto di un individuo di richiedere i dati in possesso
di un responsabile del trattamento in formato digitale. Questi
diritti faciliteranno gli individui nella richieste di
eliminazione o condivisione delle informazioni che una data
società detiene su di lui.
Accessibilità dei dati
Parliamoci chiaro, è sempre stato possibile per un individuo
richiedere i propri dati. Il RGPD rinforza questo diritto e lo
regolarizza. I Responsabili del trattamento avranno un periodo di
tempo preciso nel cui evadere le richieste, stabilito in 30
giorni. Le società potranno rifiutarsi di condividere queste
informazioni, nel caso in cui la richiesta sia del tutto infondata
o eccessiva. Inoltre, le società dovranno avere chiare politiche
di rifiuto e procedure e dimostrare perché le richieste rifiutate
non si adattano a questi criteri.
DPA
Ci sono nuovi principi da attuare per le società responsabili del
trattamento dei dati personali, incluso un sistema di protezione
dei dati necessaria dalla fase di progettazione di nuovi sistemi
informatici (privacy by design).
Inoltre, ogni qual volta un nuovo strumento atto a trattare dati
personali viene adottato da una società sarà necessario effettuare
una verifica preventiva riguardo ai rischi che potrebbe portare
alla protezione dei dati. Si tratta di misure preventive da
mettere in atto prima che potenziali rischi alla protezione dei
dati si presentino.
Data Privacy Officer
Per quanto riguarda la sicurezza, il RGPD richiede la presenza di
una figura chiamata Data Privacy Officer (DPO) che agevolerà le
operazioni di adeguamento della società. Il suo compito sarà
quello di rivedere tutte le procedure interne e l’affidabilità dei
vari fornitori a cui la società si affida.
Contratti e Documenti sulla Privacy
Il RGPD è fondato sulla trasparenza e sull’equità di trattamento,
per questo i titolari e i responsabili del trattamento dovranno
adeguare al regolamento la propria documentazione in materia di
privacy, cookies e altre politiche interne.
Tale adeguamento funzionerà in 2 sensi. Da un lato i titolari del
trattamento dovranno assicurarsi che i fornitori a cui affidano
dati sensibili siano protetti in modo adeguato tramite l’utilizzo
di contratti che prevedano l’applicazione dell’Articolo 28 del
regolamento.
Allo stesso modo i fornitori di servizi dovranno assicurarsi di
avere contratti adeguati a disposizione per i propri clienti.
Centralizzazione dei controlli
Il RGPD permette di centralizzare la figura di controllo del
lavoro avendo una persona responsabile di garantire l’adempienza
al regolamento per tutte le società di un gruppo internazionale
(one-stop shop).
Notifica delle violazioni
Il RGPD prevede che i titolari del trattamento notifichino
l’autorità responsabile del proprio Paese di una eventuale
violazione dei dati personali entro 72 ore da quando ne vengono a
conoscenza, a meno che i dati non fossero aggregati, anonimi o
criptati.
Questo significa che la maggior parte delle violazioni verranno
segnalate al Garante della Privacy. Tali violazioni devono essere
notificate anche agli individui interessati.
Portata
Mentre la legislazione vigente, la Direttiva per la Protezione dei
Dati del 1995, si preoccupava solo di individui sul suolo europeo,
il RGPD amplia la portata a tutte quelle società che hanno come
clienti o utenti cittadini europei, poco importa dove si trovino
fisicamente le società o gli individui interessati. Quindi
qualunque azienda che detenga dati di cittadini europei dovrà
conformarsi al RGPD.
Responsabilità
Titolari e Responsabili del trattamento dovranno dimostrare la
loro conformità al RGPD alle autorità di supervisione locali. I
processi dovranno essere registrati, implementati e rivisti
regolarmente. Lo staff dovrà essere sottoposto ad adeguata
formazione e dovranno essere adottate misure tecniche e
organizzative idonee a dimostrare la conformità.
Sanzioni
L’importanza del RGPD è sottolineata dalle nuove sanzioni previste
a chi non si adeguerà. A seconda del tipo di violazione, titolari
e responsabili del trattamento che avranno messo a rischio i dati
personali potranno incorrere in sanzioni che possono arrivare fino
a €20 milioni o fino al 4% del fatturato annuo (il più elevato dei
due).
Modifiche ai Servizi
Il nostro team tecnico e della sicurezza è costantemente al lavoro
per garantire le modifiche necessarie ai nostri servizi, in modo
che siano conformi al RGPD.
Documentazione legale
Il nostro team legale ha revisionato e aggiornato tutta la
documentazione legale (Termini e Condizioni, Data Processing
Agreement e Norme sulla Privacy), che conterranno tutti i punti
previsti dall’Articolo 28 del RGPD.
Trasferimento dei dati verso paesi non appartenenti all’UE
Alpha4All Italia e i suoi Partner si stanno assicurando che tutti
i fornitori a cui si appoggiano siano conformi al RGPD per quanto
riguarda il trasferimento sicuro di dati sensibili a terzi, in
particolare quando questo trasferimento avviene al di fuori
dell’Unione Europea.
Abbiamo effettuato degli accertamenti o stipulato Data Processing
Agreement, contenenti clausole contrattuali standard approvate
dall’UE, per tutti i fornitori che hanno accesso a dati personali
e sensibili.