Privacy e GDPR, come mettersi in regola
Il Regolamento Ue n. 679 del 2016 ha revisionato la normativa in materia di privacy e trattamento dati. In Italia il Regolamento è stato recepito dal Decreto Legislativo 101 del 2018, il quale ha modificato il Codice Privacy del 2003. Ma come mettersi in regola ed evitare pesanti sanzioni? Ecco alcuni utili suggerimenti.
L’applicazione della normativa sulla privacy
Il periodo transitorio di applicazione del Decreto Legislativo 101 del 2018 è terminato a Maggio 2019: alla data di oggi è pienamente operativo. Sono previsti, pertanto, controlli e sanzioni in caso di mancato rispetto della nuova normativa sulla privacy. Per capire come mettersi in regola e non ricadere in onerose sanzioni, bisogna comprendere cosa prevedono le norme previste dal GDPR, ovvero dal Regolamento Ue n. 679 del 2016.Una delle novità riguarda la tempistica con cui deve essere data l’informativa del trattamento dati all'utente. In ambito lavorativo, ciò deve avvenire sin dal primo contatto utile, con un’esposizione chiara e coincisa sulle finalità di utilizzo dei dati. Per quanto riguarda il consenso di minori, invece, quest’ultimo può essere dato personalmente solo da chi ha più di 14 anni di età. In caso di età inferiore, il consenso deve essere esplicitato dai genitori. Altre regole sono previste per la privacy delle persone decedute. I dati, infatti, saranno ereditati da chi agirà a tutela dell’interessato, in qualità di mandatario o per motivazioni di ordine familiare. Questo, però, solo se manca un’espressa contrarietà scritta del deceduto.
Qualora non si rispetti la nuova normativa sulla privacy, il Decreto 101 del 2018 prevede cospicue sanzioni penali e amministrative. Ad esempio sono previste multe da 10 a 20 milioni di euro, o dal 2 % al 4 % del fatturato mondiale annuo. In caso di uso illecito, peraltro, le sanzioni penali sono la reclusione da 6 mesi a 3 anni.Il ruolo chiave nella privacy del Responsabile Protezione Dati
Il DPO (Responsabile Protezione Dati) è una nuova figura introdotta dal GDPR. E' obbligatoria per tutte le amministrazioni pubbliche e per molte aziende private, in cui il trattamento dei dati degli utenti assume una certa rilevanza.
E’ una figura indipendente e di fondamentale importanza per tutte le procedure inerenti la privacy. Il DPO ha, infatti, il compito di informare e fornire consulenza sugli obblighi che il titolare e il responsabile dei dati devono rispettare, in ottemperanza alla normativa Privacy: come ridurre il rischio di sanzioni
Per ridurre al minimo il rischio di sanzioni in materia di privacy e trattamento dati, si possono seguire alcuni semplici suggerimenti. Il primo è sicuramente avere le informative in regola. Tutto il sistema di gestione dei dati degli utenti, anche video sorvegliato, deve cioè essere trasparente sotto ogni punto di vita. L’informativa privacy, in definitiva, deve essere precisa, sintetica e completa di tutto ciò che viene prescritto dal GDPR. Deve essere sempre comunicata e, se necessario, anche redatta in più lingue.
Qualora sia previsto il rilascio del consenso all'utilizzo dei dati da parte dell'utente, è obbligatorio che quest’ultimo avvenga in modo libero. Per rispettare la normativa sulla privacy, di conseguenza, bisogna corredarsi di un sistema informativo sicuro di raccolta e verifica dei consensi. Per migliorare ulteriormente le misure di sicurezza in materia di privacy, occorre anche provvedere alla creazione di un registro dei trattamenti, creato e gestito dal DPO, da esibire in caso di necessità al personale di controllo.Il registro dei trattamenti è importante non solo per dimostrare l'assoluto rispetto delle regole, ma anche per aumentare il livello di sicurezza in merito al trattamento dati. A tal riguardo, bisognerebbe altresì prevedere procedure da attivare per la gestione dei furti di dati, per prevedere e risolvere danni derivanti da un uso illecito degli stessi.
Altre procedure di sicurezza da seguire
Ci sono alcuni casi che aumentano il pericolo per la privacy degli utenti. In queste circostanze, infatti, non è il titolare dell'attività che si occupa della gestione dei dati, ma un personale terzo cui i dati sono trasmessi a fini commerciali.
Per mantenere la privacy degli utenti, devono in questo caso essere redatte adeguate indicazioni affinché il personale incaricato sia responsabilizzato e non utilizzi in modo illecito i dati. Tra personale terzo, responsabili esterni o contitolari di un’attività occorre sempre chiarezza e trasparenza, nel rispetto delle regole GDPR.Adeguare le misure di sicurezza di un’attività in materia di privacy, non è però un processo applicabile in maniera uguale a tutte le realtà aziendali. In base alla tipologia di organizzazione, la privacy degli utenti correrà, infatti, maggiori o minori pericoli.
Per capire quale misura di sicurezza adottare, è necessario svolgere dapprima un’analisi del rischio specifico. In seguito a tale analisi, circostanziata a una determinata organizzazione, si individueranno le procedure di sicurezza più indicate, tenendo conto dei costi, della tipologia di attività, del tipo di dati trattati e del livello di pericoli cui l’organizzazione va incontro. Se siamo in presenza di dati sensibili, ad esempio, la cifratura dei dati può essere un criterio fondamentale da considerare.
In definitiva, dobbiamo dotarci di una lista di “cose da fare” in relazione alla tipologia di attività svolta dalla nostra organizzazione. Al fine da rispettare non solo il GDPR, ma anche e soprattutto la privacy dei nostri utenti, in modo, però, proporzionato ai rischi. E’ sul mancato rispetto di tali adempimenti che, d’altronde, da parte degli ispettori e del Garante privacy, si applicheranno eventuali sanzioni, nonché si deciderà il loro ammontare.