GDPR rivoluzione la gestione del trattamento dei dati personali. Scopri cosa cambia.

GDPR è l’acronimo (General Data Protection Regulation) con il quale si identifica il Regolamento (UE) 2016/679 del 27 aprile 2016, che definisce le nuove regole in materia di dati personali. Il Regolamento è vincolante e con valore di legge ed entrerà in vigore dal maggio 2018. Restano meno di 6 mesi per adeguarsi e le novità non sono poche.

Ma quali sono le principali novità del GDPR?

La prima è più significativa è il cambio di prospettiva. Non si guarda più alla persona in quanto tali con il loro diritto alla privacy, si guarda al dato, all’informazione in quanto tale.

Ma chi riguarda il nuovo regolamento?

Tutti. Ogni azienda, ogni esercito commerciale, ogni organizzazione a scopo o senza scopo di lucro. Ogni realtà tratta dati, siano essi dati di contatto o profanazioni più approfondite per l’erogazione del servizio o la gestione dello stesso.

Ma cosa cambia in concreto?

1. Cambia l’informativa che deve divenire breve, facile e comprensibile per tutti; si abbandona l’approccio legale con citazioni giuridiche, comprensibili solo agli addetti ai lavori. Inoltre conterrà nuovi elementi, come l’origine de
2. Cambia il consenso al trattamento dei dati, che potrà anche non essere espresso ma diverrà inequivocabile e desumibile in base ai comportamenti degli interessati.
3. Si creano nuovi ruoli con l’introduzione del Responsabile per la protezione dei dati personali, il Data Privacy Officer (DPO), che diverrà un manager dei database aziendali e sostituirà il garante interno del legittimo trattamento dei dati.
4. Si sostituisce l’obbligo di notificazione al Garante della Privacy con l’introduzione del Registro dei trattamenti dati, che include una serie di adempimenti.
5. Si sostituisce il Documento programmatico sulla sicurezza, non più obbligatorio dal 2012 a dire il vero, con il Documento di valutazione di impatto del trattamento dei dati, il Data Protection Impact Assessment (DPIA), un vero e proprio Risk assesment.
6. Vengono introdotti meccanismi di certificazione e nascono i cosiddetti Sigilli di qualità della Privacy.
7. Vengono introdotti nuovi diritti, come il Diritto alla portabilità dei dati, l’oblio e la limitazione del trattamento.
8. La tutela dei dati personali diviene un processo organizzativo interno, da progettare e documentare. Vengono introdotti 2 nuovi principi: la privacy by design e la privacy by default.
9. Le norme seguono il soggetto cui si riferiscono i dati: ogni cittadino europeo ha diritto di vedere applicato il regolamento europeo anche quando i dati sono raccolti da una società extraeuropea.
10. Viene creato l’obbligo di segnalazione per violazione dei dati Data breach notification, che è l’obbligo di segnalare all’Autorità le violazioni di dati subite da chi li tratta. La mancata segnalazione ha rilevanza penale.
11. Le sanzioni in caso di violazione aumentano significativamente

• Fino a € 20.000.000 per i privati e le imprese non facenti parte di gruppi
• Fino al 4% del fatturato complessivo (consolidato) per i gruppi societari

12. Cambia la prospettiva: il GDPR introduce il concetto di Accountability. Il GDPR è tutto incentrato sui doveri e la responsabilizzazione del titolare del trattamento, sui processi, le attività, le misure tecniche e organizzative, le sanzioni e gli obblighi del titolare e responsabile del trattamento; la precedente Direttiva 95/46 al contrario si concentrava sui diritti dell’interessato.

Non temere, non ci sono solo notizie negative. O meglio, se ti limiterai a prendere il Regolamento europeo come un impiccio da gestire con il minor impegno e al minor costo, allora potresti far fatica a trovare qualche aspetto positivo. Se invece deciderai di assecondare i principi del legislatore europeo e di adeguarti di buon grado al suo disegno, allora potrai trasformare il problema di adeguamento in una nuova opportunità.

Se fino ad ora ci eravamo abituati a espletare una serie di adempimenti minimi dettagliati dal Codice in materia di dati personali (D.Lgs. 196/2003), oggi questo non basta più. Il GDPR trasforma il dato in un elemento ad alto valore aggiunto da gestire all’interno del processo organizzativo, assimilando la sua gestione a quella di processo produttivo, da gestire mediante un modello organizzativo specifico.

Il GDPR si occupa anche di profilazione, elemento molto caro al marketing e agli strumenti di digital marketing, i quali creano processi automatizzati d’invio di comunicazioni commerciali profilate quali mail flow o notifiche push. La nuova legge sulla privacy si adegua ai tempi e norma anche questi aspetti.