<link rel="stylesheet" href="//fonts.googleapis.com/css?family=Roboto%3A400%2C400i%2C700">GDPR 2019, DPO e Garante Privacy — istruzioni su come nominare e procedura della compilazione del modulo online
GDPR 2019

TRATTAMENTO E PROTEZIONE DEI DATI PERSONALI: DIRITTI E DOVERI

Prima del 25 maggio 2018, la questione della protezione dei dati personali era un argomento tanto spinoso quanto di difficile risoluzione.

E questo malgrado già il 27 aprile 2016 l’Unione Europea avesse votato e definitivamente approvato un regolamento a riguardo, denominato General Data Protection Regulation e comunemente abbreviato in GDPR.

Parte introduttiva

Tale regolamento aveva essenzialmente il compito di uniformare le leggi riguardanti la tutela della privacy individuale e aziendale fra i vari paesi membri dell’Unione: la pubblicazione sulla Gazzetta Ufficiale Europea era avvenuta regolarmente pochi giorni dopo l’approvazione, il 4 maggio 2016.

Iter biennale

Tuttavia, dal momento della pubblicazione, sono stati necessari altri due anni prima che il regolamento diventasse definitivamente operativo. Anzi, per la precisione sono passati ben 751 giorni.

Infatti, per la definitiva entrata in vigore del regolamento sul piano pratico e attuativo sono stati necessari due ulteriori passaggi:

  1. Il primo riguarda l’entrata in vigore formale della legge, fissata dagli organi competenti per il 25 maggio del 2016, tre settimane dopo la pubblicazione della stessa;
  2. Il secondo riguarda il periodo cuscinetto di due anni garantito agli attori coinvolti dal nuovo regolamento per uniformarsi alle novità.

Si tratta di due passaggi tecnici e di garanzia previsti di default dai protocolli europei, che hanno fatto slittare l’operatività due anni in avanti.

Due anni di sospensione normativa

Questo biennio, in teoria una forma di tutela nei confronti degli attori investiti dalla legge, è stato spesso interpretato come un periodo nel quale fosse possibile ricorrere contro una normativa considerata iniqua.

O quantomeno per alimentare il malcontento dell’opinione pubblica nei confronti della stessa.

Azioni dimostrative e “blackout” programmatici si sono succeduti a ritmo incessante, soprattutto nel mondo del web, dove il trattamento dei dati personali rimane ancora oggi un argomento fortemente controverso.

Di fatto, tale periodo ha finito per provocare presso una parte dell’utenza più assidua di Internet un clima di sfiducia nei confronti del nuovo regolamento europeo.

Limitazione delle libertà degli operatori

Il sentimento comune tendeva a vedere il nuovo GDPR, prima ancora che divenisse operativo, come una grave limitazione delle libertà degli operatori.

Solo la sua effettiva introduzione e la conseguente verifica da parte dell’utenza ha tranquillizzato gli animi, e oggi, dati alla mano, la fiducia degli utenti riguardo la protezione della loro privacy è aumentata.

GDPR come nominare

Effetto Cambridge Analytica

In effetti, dopo lo scandalo che ha coinvolto Facebook e la società esterna Cambridge Analytica, con Mark Zuckerberg costretto a riferire all’Unione Europea e a provvedere a riparare i danni dovuti ad alcune leggerezze della sua società, l’atteggiamento degli europei nei confronti del GDPR è mutato radicalmente.

Una sorta di ipersensibilità sull’argomento si è diffusa nel giro di pochi mesi: all’improvviso gli utenti hanno cominciato a informarsi circa i rischi latenti derivanti dal malcostume di lasciare i propri dati personali in rete.

Statistiche allarmanti

Proprio a tale rinnovata attenzione da parte del pubblico si deve il proliferare di siti Internet di monitoraggio “non ufficiale” (vale a dire non dipendente da enti governativi) delle attività di data breach.

Uno dei più aggiornati in materia – Breachlevelindex.com – fornisce statistiche in tempo reale.

Secondo i suoi rilevamenti, dal 2013 a oggi le violazioni della privacy online nel mondo sono state oltre 14 miliardi e 700 milioni, con Stati Uniti, Cina e Brasile tra le nazioni più colpite e Giappone, Turchia e Corea del Sud che vantano (si fa per dire) il maggior quoziente di attacchi riusciti per numero di abitanti.

Sempre secondo lo stesso sito, le fonti di approvvigionamento di dati personali e le relative percentuali di prelievo sono le seguenti (dati relativi al 2018):

Social Media56,18%
Settore alberghiero10,60%
Tecnologia5,43%
Vendita al dettaglio5,15%
Intrattenimento0,68%
Enti governativi0,41%
Industrie0,38%
Sanità0,36%
Strutture educative0,27%
Finanza0,12%
Altro20,14%

GDPR: come funziona

Dunque il GDPR, al di là di come la si pensi a riguardo, nasce da alcune necessità e possiede una serie di funzioni specifiche molto ben delineate.

Quali sono queste funzioni? Di seguito elencate le principali:

  • Tutelare la privacy degli utenti;
  • Ripristinare i contorni del diritto all’oblio;
  • Rendere più chiare ed esplicite sia l’informativa che la richiesta di consenso al trattamento dei dati personali;
  • Prevenire i crimini informatici connessi al traffico dei dati personali;
  • Limitare o meglio ancora annullare attività moleste come phishing o spamming;
  • Evitare che i dati personali possano essere utilizzati a fini di lucro all’insaputa degli interessati;
  • Evitare che i dati personali di cui si è entrati impropriamente in possesso possano essere utilizzati come armi di ricatto o coercizione ai danni degli interessati;
  • Agevolare il lavoro di chi opera nel campo della prevenzione delle attività online a danno di minori o persone svantaggiate;
  • Creare una normativa unitaria e armonica nell’ambito dell’UE;
  • Regolamentare il trasferimento dei dati personali autorizzati al trattamento al di fuori dell’UE.

GDPR 2019 infografica

La principale novità: il DPO

Una delle novità più significative introdotte dal GDPR riguarda la figura del Data Protection Officer, conosciuto anche con l’acronimo DPO.

Si tratta di una figura professionale che tutte le aziende e gli enti pubblici sono ora obbligate a contemplare nei loro quadri. Non sono ammesse deroghe in tal senso.

Aspetti normativi inerenti il DPO

Secondo le norme che regolano il GDPR su come nominare il DPO, tale figura va scelta al di fuori dei dipendenti dell’azienda, quindi deve essere totalmente indipendente. Inoltre, sempre a norma di legge, il professionista incaricato deve mostrare di avere delle competenze specifiche per quanto riguarda le regolamentazioni vigenti sull’argomento.

Inoltre, il professionista deve possedere prerogative umane e professionali adeguate sia alla difficoltà che al livello di responsabilità del compito assegnatogli.

Procedura e compilazione del modulo online

Allo stesso modo, anche la retribuzione deve essere commisurata al grado di responsabilità del suo lavoro.

Infine, l’azienda o l’ente hanno l’obbligo di comunicare il DPO al Garante della Privacy, fornendo tutte le informazioni del caso sulla sua identità e i suoi contatti.

Nei siti specializzati in GDPR, le istruzioni su come nominare il DPO si arrestano non molto più in là di queste generiche informazioni.

Per quanto riguarda l’Italia

Soprattutto per quanto riguarda l’Italia, la normativa applicata è ancora lacunosa, e molte aziende lamentano l’assenza di una regolamentazione più precisa e centrata.

Ciò malgrado, tutti si sono attrezzati cercando di prendere alla lettera le coordinate fornite dall’Unione Europea.

Al tempo stesso, si stanno affermando alcuni professionisti – o addirittura intere società – del settore che, specializzandosi rapidamente proprio in questa mansione, offrono i loro servigi a una pluralità di clienti.

Insomma, una nuova figura professionale si sta affermando poco alla volta.

Compito del DPO

Dal momento che adesso ogni azienda ha l’obbligo di tenere un registro, perfettamente aggiornato, dei dati personali dei propri clienti, tra i suoi doveri rientra anche il monitoraggio degli stessi.

Il DPO provvede principalmente a svolgere tali compiti, facendo al tempo stesso da duplice garante, nei confronti dell’azienda e in quelli dei suoi clienti.

Inoltre, anche il trasferimento dei dati deve essere conforme alle norme e ai limiti della legge europea, oltre che indirizzato esclusivamente a quelle tipologie di destinatari che la legge medesima ha individuato come congrui e legittimi.

Anche questo lavoro deve essere gestito, o quantomeno monitorato dal DPO.

Diritti delle persone fisiche

La normativa europea ha messo in evidenza alcuni diritti inalienabili delle persone che accettano di fornire i propri dati personali a un’azienda o un ente, sia fisicamente che online.

Il primo tra tutti è quello all’informazione, che deve essere chiara e priva di ambiguità sin dalla procedura e compilazione del modulo online o di analogo modulo fisico di accettazione del trattamento dei dati.

Quanto ti senti sicuro a lasciare i tuoi dati sensibili online?
RISPONDERE

Il principio ispiratore

È quello della perenne reversibilità della volontà del contraente. Un principio che può essere richiamato unilateralmente e in maniera inappellabile.

In altre parole, chiunque fornisca i propri dati sensibili a terzi ha diritto di ripensarci in qualsiasi momento. E chi ha in custodia tali dati non può opporsi in alcun modo a tale volontà, laddove esplicitamente espressa.

Entrando più nello specifico, sono essenzialmente tre le voci su cui si articolano i diritti delle persone fisiche in termini di tutela della loro privacy.

Diritto di accesso

Il cliente può chiedere di avere accesso alle proprie informazioni sensibili rilasciate a un’azienda o un ente, sia a mezzo fisico che online, in qualsiasi momento.

E il detentore di tali informazioni ha il dovere di garantire tale accesso.

Inoltre, l’interessato ha diritto di:

  • conoscere le finalità del trattamento;
  • gli eventuali destinatari;
  • il periodo di conservazione dei dati;
  • il diritto a inoltrare eventuali reclami alle autorità preposte al controllo.

Diritto alla portabilità

Si tratta della facoltà del cliente di richiedere in qualsiasi momento i propri dati al titolare del trattamento degli stessi. Dal canto suo, il titolare del trattamento ha il dovere di fornirli in un formato di uso comune e leggibile.

In questo modo, le informazioni sensibili possono essere trasferite a un altro titolare del trattamento a seconda della volontà del cliente, anche senza preavviso.

Il precedente titolare deve avere un atteggiamento non ostativo, né riportare significativi ritardi nella fornitura di quanto richiesto.

Il tempo limite per l’erogazione delle informazioni è, ai termini di legge, un mese.

Diritto all’oblio

Si tratta del diritto maggiormente oggetto di attenzioni da parte dei media, anche a causa di recenti, e tristissimi, fatti di cronaca. In base a tale comma, l’interessato ha facoltà di richiedere la rimozione e la cancellazione definitiva dei propri dati dal web e da ogni altro database.

Anche in questo caso, la facoltà del cliente non è negoziabile da parte del responsabile del trattamento.

Una strada in discesa

Detto questo, è verosimile supporre che l’UE debba provvedere, presto o tardi, a chiarire alcuni punti non troppo chiari del regolamento, o comunque aggiornarlo ai nuovi, inevitabili orizzonti tecnologici che si schiuderanno negli anni a venire.

Una prospettiva che, in ogni caso, verrà affrontata con maggiore leggerezza da tutte le parti in causa, dal momento che ora una base legislativa c’è e, a un anno di distanza dalla sua partenza, si sta dimostrando alquanto solida.

Sono le fondamenta di un nuovo modo di intendere il rapporto di fiducia tra azienda e cliente, che sulla lunga distanza darà dei frutti importanti sul piano della sicurezza, on e offline.

Quali dei tuoi dati sensibili sei meno incline a rilasciare online, anche a siti certificati?
RISPONDERE
Francesca Lombardi / Caporedattore
Le è piaciuto questo articolo? Condividelo con I suoi amici , per favore
Classifica
( 2 , average 5 from 5 )
Finanzaitalia.net
Commento: 4
  1. Marco

    Salve, ho un sito web un blog personale senza pubblicità sono obbligato cosa devo fare per adeguarmi alla GDPR. Cosa rischio se non sono a norma? grazie

    1. Francesca Lombardi (автор)

      Buonasera Marco. Posso sapere gentilmente di cosa tratta il suo blog?

  2. Marco

    Io sono un fotografo e nel mio blog espongo i miei lavori, praticamente è il mio portfolio

    1. Francesca Lombardi (автор)

      Sicuramente le sarà utile rivolgersi ad un esperto in materia per risolvere questo problema. In ogni caso le posso genericamente dire che un utente deve essere informato su quali dati un sito web raccoglie e deve poter in qualsiasi momento rifiutare che vengano raccolte tali informazioni. Inoltre, qualora fosse presente un form per accogliere domande o farsi mandare dei preventivi, è bene sapere che bisogna presentare l’informativa sulla privacy

Lascia un commento

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:
Cliccando sul bottone "Pubblica il commento", io accetto il trattamento dei dati personali e autorizzo la presente politica della confidenzialità.