È il tormentone del momento: dal 25 maggio entra in vigore il nuovo Gdpr (Regolamento generale sulla protezione dei dati) dell’Unione Europea. Aiuto!
Niente paura, nonostante le terrificanti minacce di sanzioni fino a 20 milioni di euro, anche il Gdpr “se lo conosci non ti uccide”.
Come già la normativa sui cookies, anche questa nuova legge riguarda chiunque abbia un sito o raccolga dati, contatti e informazioni personali in qualunque forma, anche cartacea. È evidente a tutti come il Gdpr sia stato concepito per arginare gli abusi dei giganti di internet: Google, Facebook, Amazon e così via, ma come tutte le leggi, interessa anche i piccoli abusi che tutti rischiamo di commettere nella raccolta dei dati. Dura lex, sed lex! Cosa fare?
Il testo della legge è ovviamente molto complesso (88 pagine in pdf!) e può essere scaricato dal sito della Gazzetta ufficiale dell’Unione europea. Il web è pieno di siti di studi legali che ve lo spiegano molto meglio di noi. Quello che possiamo fare è raccontarvi cosa abbiamo fatto.
Per prima cosa abbiamo aggiornato l’Informativa sui cookies e sulla privacy della nostra azienda, che deve essere necessariamente pubblicata e ben visibile sul sito dell’azienda stessa.
Le principali novità rispetto ai vecchi regolamenti sono:
- Maggiore semplicità di consultazione del modo in cui si trattano i dati personali.
- Maggiori informazioni su come esercitare i diritti sulla privacy.
- Maggiore accessibilità alla modifica e cancellazione dei dati.
- Informazioni più trasparenti sulle diverse finalità di trattamento dei dati.
In concreto abbiamo:
- Esplicitato il titolare del trattamento dei dati, che è l’azienda che li ha raccolti.
- Esplicitato quali dati vengono raccolti e per quali finalità vengono usati, dalle informazioni anonime di navigazione, raccolte automaticamente, a quelle personali fornite direttamente dall’utente, come i dati anagrafici, l’indirizzo mail o il numero di telefono. Va inoltre esplicitato quale base giuridica legittimi la raccolta e l’uso di tali dati, come ad esempio la necessità di rispondere a una richiesta di servizio da parte dell’utente, oppure il consenso liberamente fornito dall’interessato.
- Esplicitato la natura del conferimento dei dati, se cioè questo è facoltativo o obbligatorio e nel caso sia facoltativo, cosa comporta il mancato conferimento (ad esempio l’impossibilità di fornire il servizio richiesto).
- Esplicitato le modalità di trattamento e conservazione dei dati, se con strumenti elettronici, mediante elaborazioni manuali e per quanto tempo.
- Esplicitato chi sono i soggetti autorizzati al trattamento, se interni o esterni all’azienda, in patria o all’estero.
- Esplicitato i diritti dell’interessato, ad esempio quello alla modifica o cancellazione dei dati.
- Esplicitato il responsabile aziendale della protezione dei dati, il cui contatto deve essere fornito all’utente per eventuali richieste.
- Inviato una comunicazione a tutti i contatti per invitare a confermare, modificare o cancellare i propri dati.
- Aggiornato i form di raccolta dati mediante l’inserimento di un doppio consenso (al trattamento dei dati e all’invio di newsletter o altri contenuti).
La materia del Gdpr è particolarmente delicata e relativamente nuova nella produzione legislativa. Il diritto in materia di privacy non era così complesso prima dell’avvento del Big data. Lo stesso Gdpr, infatti, non è semplicemente un insieme di regole, ma innanzitutto una dichiarazione di princìpi che si richiamano alla Carta dei diritti fondamentali dell’Unione europea e alle costituzioni degli stati membri. Speriamo che serva a qualcosa e che non sia solo l’ennesima pratica burocratica da sbrigare.
Gdpr: se lo conosci non lo eviti, se lo conosci (forse) ti aiuta!
Giuseppe Zito