La direttiva GDPR spiegata in poche parole

La direttiva GDPR spiegata in poche parole

Sulla normativa GDPR si potrebbe parlare per ore.

Ci sono tantissime sfumature, eccezioni ed esclusioni in questa direttiva, perciò non aspettatevi di sapere tutto il necessario solo leggendo questo articolo.

Il mio obiettivo è quello che presentare i punti salienti di questo documento a mio dire fondamentale per la sicurezza dei dati personali, perciò vi lascerò delle fonti ufficiali in fondo alla pagina, così che possiate cogliere le nozioni di questo video e, se sarete interessati ad altri approfondimenti, potrete farli liberamente per conto vostro.

Applicata il 25 maggio 2018, la normativa europea GDPR stabilisce uno standard chiaro e preciso riguardo il trattamento dei dati personali da parte di aziende private, amministrazioni pubbliche e qualsiasi altra organizzazione che:

  • Operano all’interno dell’Unione Europea;
  • Trattano informazioni personali di individui residenti in Unione Europea;
  • Hanno una sede legale in Unione Europea.

Per “trattamento” si intende ogni attività di raccolta (per esempio con un modulo di registrazione), aggregazione (all’interno di un database o un raccoglitore), estrazione (come un salvataggio o un backup), analisi (statistiche interne, di mercato ecc…), conservazione (tutela dei dati già archiviati) e condivisione (invio ad enti commerciali, istituti statistici ecc…) dei dati personali.

Per “dato personale” si intende una qualsiasi informazione che possa consentire l’identificazione di un individuo, che essa sia frammentaria o completa.
Mi spiego meglio:
Il fatto che la mia data di nascita sia condivisa da N persone in tutto il mondo, non significa che una società dove ho registrato la mia anagrafica possa condividerla liberamente ed indipendentemente dalla mia scelta.
Stesso discorso per il mio nome, cognome, email e moltissimi altri esempi che, se raccolti in parte o totalmente, rappresentano la mia identità.

A chi si rivolge?

La norma europea va rispettata da qualsiasi organizzazione che collezioni e tratti dati personali di qualsiasi individuo residente in Unione Europea.

Esempio pratico:
Se io mi iscrivo a YouTube, che ha sede legale e server dove sono archiviati i miei dati in America, la YouTube LLC è tenuta al trattamento dei miei dati in conformità a quanto disciplinato dal regolamento GDPR.

Oppure ancora:
Se mi iscrivo al social network VK.COM, la società russa dovrà trattare i miei dati in conformità alla direttiva senza né eccezioni né esclusioni.
Easy.

Chi controlla che le norme siano applicate?

L’Unione Europea si occupa di diffondere quanto deciso, ma il compito di sorvegliare spetta agli stati membri, che dovranno costituire un’Autorità Garante della Protezione dei Dati, detta anche DPA, che sarà consultata per applicare il GDPR, gestire i reclami presentati dai singoli individui, stabilire le sanzioni quando necessario e sensibilizzare i cittadini sulla materia della privacy.

Cosa guadagna il cittadino?

  • Il diritto di trasferire i propri dati archiviati tra le diverse aziende;
  • Il diritto di essere informato in modo semplice ed accessibile su quali dati vengono trattati dall’azienda e in che modo;
  • Il diritto di sapere, in caso di profilazione o di ricerche incrociate con altre aziende, quali informazioni sono state recuperate dalle ricerche e che profilo uscirà da tali informazioni;
  • Il diritto di richiedere una copia dei propri dati conservati;
  • Più trasparenza da parte delle aziende in merito a come verranno trattati i propri dati e chi ne verrà in contatto;
  • Più fiducia nei confronti delle aziende, in quanto sono previste sanzioni pecuniarie per chi non rispetta la normativa;
  • La possibilità di modificare i dati dichiarati in qualsiasi momento;
  • La possibilità di cancellare i dati inseriti dagli archivi, se non reputati più necessari o se si volesse risolvere l’accordo tra utente e azienda;
  • Il diritto ad essere informato esplicitamente quando, per stipulare un accordo, l’azienda richiede l’inserimento di dati non direttamente necessari per la fornitura di un servizio;
  • La possibilità di revocare l’accesso a determinate informazioni dichiarate precedentemente;
  • Il diritto di sapere come una procedura automatizzata (per esempio il login automatico di Facebook o Google) ha avuto luogo, che dati ha comunicato all’azienda e quali altre realtà sono interessate nella ricezione dei dati. Inoltre, sempre nel caso di procedure automatizzate, si ha il diritto di richiedere un intervento manuale per correggere qualsiasi azione presa dal sistema;
  • Accesso più semplice ai tribunali in caso di violazione, con il supporto dell’Autorità Garante.

Nel caso in cui la normativa europea venga violata e i miei dati vengano trattati contro la mia volontà, posso ricorrere a diverse opzioni:

  1. Contattare l’azienda in questione, per tentare una risoluzione tra le due parti;
  2. Presentare un reclamo presso l’Autorità Garante italiana;
  3. Citare l’azienda in giudizio;
  4. Rivolgermi a terze parti, come ad esempio associazioni dei consumatori (in Italia ci sono numerose associazioni come Altroconsumo, Codici, ADOC, ADICONSUM, Movimento Difesa del Cittadino e numerose altre).

Ci sono situazioni dove l’azienda può rifiutarsi di cancellare i dati dei propri utenti dai suoi archivi.

Principalmente per i seguenti motivi:
In primis, potrebbero essere necessari a fini fiscali, perciò l’azienda può astenersi dal rispettare la richiesta di cancellazione;

In altre situazioni, le aziende potrebbero decidere di mantenere i dati degli utenti anche se non più iscritti o interessati al servizio per motivi di storicità o per proteggersi da complicazioni legali future, come contestazioni o accertamenti.

Nel caso si dovesse subire una violazione informatica e i dati degli utenti dovessero essere compromessi o esfiltrati, l’azienda è tenuta a:

  1. Informare entro 72 ore da quando si è venuti a conoscenza della violazione, l’Autorità Garante
  2. Informare immediatamente gli utenti interessati, utilizzando i contatti forniti dagli stessi.

Come posso assicurarmi che i dati siano trattati in modo sicuro?

Il cittadino europeo ha il diritto di richiedere dove i propri dati siano archiviati.

Le aziende dovrebbero effettuare una valutazione del rischio di violazione degli archivi, digitali o meno, verificare la sicurezza dei sistemi di archiviazione, documentare dettagliatamente le azioni intraprese sugli archivi, stabilire i ruoli fondamentali per la gestione dei dati e sistemi e redigere una revisione periodica di dati salvati e apparati.

Nel caso in cui un’azienda non implementasse correttamente la normativa GDPR, si rischierebbe di incorrere in una sanzione da parte dell’Autorità Garante della Protezione dei Dati.

Nel caso uno o più clienti lo decidessero, l’azienda potrebbe essere chiamata in causa davanti ad un giudice, per rispondere della violazione della privacy dei propri utenti.

Le sanzioni per non aver implementato correttamente la normativa GDPR possono raggiungere il 4% del fatturato annuale dell’azienda in colpa, per un minimo di 10 fino ad un massimo di 20 milioni di euro. Per un’infrazione reputata “minore”, la sanzione sarà del 2%.
Senza dubbio una manovra dissuasiva.

Per concludere in bellezza, “Ignorantia legis non excusat“, “la legge non ammette ignoranti”.

Nel caso delle aziende, però, si spera sempre che chi si abbia davanti non conosca bene la legge, per ovvi motivi.

Non fatevi trovare impreparati e cercate di risolvere ogni dubbio approfondendo quanto più possibile l’argomento privacy, ne va del vostro interesse, dopotutto.


Letture interessanti:

Mostra i Commenti