Una privacy tutta nuova: cosa cambia con il nuovo regolamento europeo

privacy seeds

Il 24 maggio 2016 è entrato in vigore il regolamento generale europeo sui dati personali.

Questa data segna un passaggio: ci sarà un prima e un dopo. E la privacy non sarà più la stessa. Cambiano le norme da rispettare ma cambia, soprattutto, l’essenza stessa del tema che da tanti anni interessa chi gestisce informazioni per conoscere gli interessi dei propri clienti e potenziali clienti, utilizza dati di recapito per inviare messaggi personalizzati e in generale vuole svolgere attività di marketing diretto .

Fino ad ora siamo stati abituati a considerare la privacy come un adempimento, un obbligo da rispettare con comportamenti formali, affidati di solito alla supervisione di un legale. Con il regolamento europeo cambia tutto: la privacy diventa un processo aziendale da gestire in tutte le sue fasi, da quella ideativa a quella esecutiva.

La spiegazione di questo cambiamento è semplice. Si parte da una constatazione elementare: i dati personali sono diventati quello che nell’economia tradizionale è una materia prima, sono l’elemento base che va trasformato per produrre ciò che va sul mercato. Sono il petrolio dell’era digitale, l’elemento che va elaborato per generare i fatturati delle aziende. In effetti i dati personali valgono sempre di più.  In estrema sintesi si può dire che oggi i dati personali servono a molte cose: 1) A creare prodotti innovativi, 2) A formulare offerte mirate ai consumatori, trasformando gli sconosciuti in clienti fidelizzati 3) A garantire sicurezza e migliorare l’efficienza 4) A controllare,  profilare e analizzare.  Alla luce dell’importanza che i dati hanno assunto nell’economia attuale diventa essenziale proteggere il processo produttivo che attorno ai dati si genera e prevenire possibili abusi nell’utilizzo delle informazioni riferite agli individui.

Regolamento privacy, che cosa cambia

Ma cosa cambia oltre all’approccio? In una parola cambia tutto:

  • Cambia l’informativa che diventa breve, priva di riferimenti normativi, deve essere comprensibile anche ai minori e deve contenere nuovi elementi oggi non previsti (ad esempio l’origine dei dati utilizzati dal titolare e il tempo di conservazione previsto per i dati raccolti)
  • Cambia il consenso al trattamento che cessa di essere necessariamente espresso e diventa un consenso inequivocabile e quindi desumibile in base ai comportamenti degli interessati.
  • Cambiano i ruoli del trattamento, con l’introduzione la figura del Data Privacy Officer (il responsabile per la protezione dei dati personali) che sarà un vero manager dei data base aziendali e non un semplice garante interno del legittimo trattamento dei dati
  • Sparisce l’obbligo di notificazione al Garante e si introduce il registro dei trattamenti
  • Sparisce il Documento programmatico sulla sicurezza e nasce il Documento di valutazione di impatto del trattamento dei dati
  • Vengono introdotti meccanismi di certificazione e nascono i cosiddetti Sigilli di qualità della Privacy
  • Vengono introdotti nuovi diritti: in particolare ogni interessato potrà trasferire da un titolare ad un altro i dati personali che lo riguardano. Nasce il diritto alla portabilità dei dati
  • Diventa essenziale progettare la tutela dei dati personali e documentare l’attenzione verso l’analisi dei rischi connessi al trattamento dei dati personali
  • Le norme seguono il soggetto cui si riferiscono i dati: ogni cittadino europeo ha diritto di vedere applicato il regolamento europeo anche quando i dati sono raccolti da una società extraeuropea.
  • Le sanzioni in caso di violazione aumentano significativamente e per le multinazionali sono calcolate in percentuale (fino al 4%) del fatturato mondiale del Gruppo.

Se vi pare poco ne riparliamo tra un anno il 25 maggio 2018, quando il regolamento alla conclusione del periodo transitorio di due anni concessi per permettere l’armonizzazione tra i vari paesi europei diventerà definitivamente vincolante in tutte le sue parti.  Per arrivare preparati a quel momento e cogliere da subito le tante opportunità che si aprono per le aziende grazie alla nuova era della privacy occorre agire subito, mappare le proprie banche dati, ripensare i processi di trattamento dei dati e impegnarsi per estrarre valore dalle informazioni di cui si dispone nel rispetto degli interessati. Solo così si potrà raggiungere l’obiettivo vero di questa riforma: permettere alle imprese di dire “Privacy is good for business”.

Regolamento privacy, pillole sulla riforma europea in materia di dati personali

Lo sapevi che

  • Il nuovo regolamento è direttamente applicabile nei 28 paesi membri dell’Unione Europea senza bisogno di leggi di recepimento?
  • In tutti gli stati dell’Unione avremo una identica legge applicabile per il trattamento dei dati personali?
  • L’informativa da consegnare ai soggetti di cui vengono trattati i dati cambia profondamente?
  • Vengono introdotti nuovi diritti per i soggetti cui si riferiscono i dati e quindi nuovi obblighi per chi vuole raccogliere e trattare dati personali?

Sai rispondere?

  • Sai cos’è il diritto all’oblio?
  • Sai cos’è il diritto alla portabilità dei dati?
  • Sai cos’è la privacy by design e by default?
  • Sai per quanto tempo sarà legittimo conservare i dati personali?
  • E’ vero che con il nuovo regolamento europeo cambia il consenso e diventa possibile trattare i dati anche in assenza di un consenso espresso?
  • Quali compiti deve gestire il Data Privacy Officer?
  • Ci sarà l’obbligo di informare le autorità e gli interessati degli accessi non autorizzati e delle perdite di dati personali?
  • Che cos’è il registro dei trattamenti?
  • Che cos’è il privacy impact assessment?
  • Che cos’è l’accountability?
  • E’ vero che le sanzioni saranno determinate in misura percentuale rispetto al fatturato aziendale o del Gruppo cui l’azienda appartiene?

Se vuoi saperne di più segui Privacy Seeds

The following two tabs change content below.
Marco Maglio

Marco Maglio

Avvocato in Milano e fondatore di Lucerna Iuris, il primo Network Giuridico Internazionale formato da legali di tutti i paesi dell'Unione Europea specializzati in assistenza legale per le attività compliance, comunicazione commerciale e per il trattamento dei dati personali. Tiene corsi di specializzazione in Italia ed all’estero come docente nelle materie di Data Protection e Privacy Engineering, Diritto dei consumi e del marketing e Diritto della sicurezza alimentare. E’ presidente dell’Osservatorio Europeo sulla Data Protection. Presiede il Giurì per l’Autodisciplina nella comunicazione commerciale diretta e nelle vendite a distanza. E' membro dell'American Society of International Law e dell'American Society of Compartative Law. E' membro dell'International Association of Privacy Professionals ed è Senior Auditor per la Privacy Compliance. E' referente italiano per le attività di ricerca della British Society of Comparative Law per le tematiche della data protection e della privacy. Preside numerosi Organismi di vigilanza nell’ambito della normativa 231/2001. Fa parte del comitato scientifico di pubblicazioni giuridiche ed è editorialista per quotidiani e riviste sui temi della tutela dei dati personali, del diritto del marketing, della sicurezza informatica e della responsabilità organizzativa delle imprese. A partire dal 1996 partecipa, in qualità di relatore, a convegni nazionali ed internazionali dedicati alla tutela della privacy, al diritto delle telecomunicazioni, al commercio elettronico, al diritto dell’informazione, al diritto dei consumatori, al diritto d’autore.

Lascia un commento