GDPR

La nuova normativa in materia di privacy

Le misure di sicurezza di cui un’azienda grafica deve dotarsi per essere in regola.

Il GDPR, General Data Protection Regulation, è stato creato al fine di evitare che i dati utilizzati possano essere commercializzati per scopi estranei a quelli per cui sono stati rilasciati, determinando influenze anche scorrette sul mercato

La protezione dei dati personali relativi alla vita privata e familiare, espressamente prevista dall’art. 8 della Convenzione Europea dei Diritti dell’Uomo, è un diritto fondamentale della persona che deve essere bilanciato con la necessità delle aziende di trattare i dati che acquisiscono nello svolgimento dell’attività lavorativa.

La rapida evoluzione tecnologica e la globalizzazione hanno portato il legislatore a tutelare la privacydi ogni individuo attraverso un’efficacie protezione dei dati personali, che dovrà risultare consimile in ogni Stato appartenente all’Unione Europea.

La tutela dei dati personali era precedentemente regolamentata dal Codice della Privacy(Legge n. 196/2003) che raccoglieva in un unico testo tutte le norme poste a protezione dei dati. Il 25 maggio 2018 è entrato in vigore il Regolamento Europeo n. 679/2016 (più noto come GDPRossia General Data Protection Regulation) direttamente applicabile in tutti gli stati membri dell’Unione Europea, i quali entro il 22 agosto 2018 dovranno adeguare la normativa nazionale ai principi dettati dal GDPR.

Il Regolamento è stato creato al fine di evitare che i dati utilizzati in particolare dalle grandi aziende possano essere commercializzati per scopi estranei a quelli per cui sono stati rilasciati, determinando influenze anche scorrette sul mercato (come è avvenuto per il caso di Facebook Cambridge Analitica). Altra finalità del Regolarmento è quello di impedire che la diffusione di informazioni e immagini portino alla commissione di reati (cyberbullismo).

I principi cardine

Il Regolamento, a differenza della Legge n. 196/2003 che stabiliva le misure minime da attuare per la tutela della riservatezza dei dati personali impone ai Titolari del trattamento (aziende, pubbliche amministrazioni e liberi professionisti) di prevedere una tutela dei dati adeguata all’attività che svolgono. Gli stessi dovranno dotarsi di misure di sicurezza da variare in considerazione della natura delle informazioni trattate, aumentando le soglie di sicurezza in tutti i casi in cui i dati rivelino l’origine etnica, le opinioni politiche o religiose ovvero le caratteristiche genetiche o lo stato di salute dei soggetti interessati. In sostanza il Regolamento impone ai Titolari di prevedere un trattamento personalizzato a seconda dell’attività che ciascuna azienda svolge e dei dati che acquisisce.

Il GDPR sancisce i principi cardine a cui i titolari devono uniformarsi

–   Liceità e correttezza: il trattamento dei dati richiede il rilascio di un consenso da parte dell’interessato;

–   Trasparenza: i dati personali devono essere trattati con modalità predefinite e rese note all’interessato;

–   Finalità: i dati personali raccolti dal titolare del trattamento devono indicare le ragioni per le quali vengono richiesti (es. scopi pubblicitari, commerciali etc.);

–   Necessità e minimizzazione: il titolare del trattamento deve raccogliere solo i dati strettamente necessari allo svolgimento della sua attività;

–   Limitazione nell’archiviazione: i dati devono essere conservati esclusivamente per il periodo necessario allo svolgimento dell’attività richiesta dall’Interessato.

Vediamo nella pratica i soggetti che all’interno delle aziende dovranno assicurare il corretto trattamento dei dati per evitare di incorrere in pesanti sanzioni amministrative.

Si raccomanda alle aziende grafiche dotate di un sito web che raccolga dati personali tramite cookies e questionari online (anche semplicemente al fine di rilasciare preventivi per l’attività da svolgere), di creare una pagina sulla privacy ove vengano fornite informazioni in merito ai diritti degli utenti, tra cui anche il diritto all’oblio.

Il Titolare del trattamento

Il Titolare del trattamento è quel soggetto (azienda) che riceve i dati utilizzati nello svolgimento della sua attività e precisa all’Interessato (cliente) le finalità e le modalità del trattamento dei dati personali.

Il Titolare del trattamento, prima di ottenere il consenso dell’Interessato, deve informarlo sulle modalità e finalità del trattamento e sui dirittiche potrà esercitare, tra cui il diritto all’oblio, che consente all’interessato di ottenere la cancellazione dei dati personali che lo riguardano, a condizione che gli stessi non debbano essere conservati dal Titolare del trattamento per adempiere a obblighi fiscali o comunque legali. L’informativa sottoscritta dall’Interessato deve, inoltre, indicare il nominativo del Titolare del trattamento e, se previsto, del Responsabile del trattamento.

Acquisito il consenso, il Titolare del trattamento è tenuto a mettere in atto le misure tecniche e organizzative idonee a garantire e a dimostrare che il trattamento dei dati personali avvenga in modo conforme al Regolamento, predisponendo un registro delle attività di trattamento e una preliminare valutazione d’impatto sui dati trattati.

Il registro delle attività di trattamento(Art 30 GDPR) è obbligatorio per le sole aziende con più di duecentocinquanta dipendenti e deve contenere tutti i dettagli inerenti le finalità del trattamento, le categorie di soggetti interessati, le tipologie di dati e l’eventuale trasferimento degli stessi in paesi terzi. Tale registro, che può essere in formato telematico, deve essere messo a disposizione dell’Autorità Garante per la protezione dei dati personali qualora lo richieda.

La valutazione d’impatto sulla protezione dei dati (Art 35 del GDPR) deve essere effettuata dal Titolare quando sia probabile che la tipologia di dati trattati possa creare un elevato rischio per i diritti e le libertà delle persone fisiche. Tali valutazioni rivestono un ruolo fondamentale consentendo al Titolare del trattamento di identificare e valutare i rischi che altrimenti non sarebbero stati rilevati.

Responsabile del trattamento

Il Responsabile è un soggetto (persona fisica o giuridica) che concretamente tratta i dati per conto del Titolare e a cui viene demandato il compito di garantire che, le misure tecniche ed organizzative predisposte per la tutela dei dati, soddisfino i requisiti del GDPR.

Responsabile della protezione dati o DPO 

Il DPO è il professionista che svolge il ruolo di supervisore, incaricato dal Titolare del trattamento di verificare la corretta gestione dei dati personali negli enti pubblici e nelle aziende private che svolgono attività di monitoraggio sistematico su larga scala ovvero trattino informazioni sensibili o di dati relativi a condanne penali e a reati.

Sanzioni

Il GDPR ha apportato modifiche anche alla disciplina sanzionatoria inasprendo le sanzioni amministrative pecuniarie. Se infatti la Legge n. 196/2003 prevedeva l’applicazione di sanzioni che variavano da un minimo di tremila euro fino a un massimo di diciottomila, oggi le stesse possono raggiungere i 20 milioni di euro ovvero essere calcolate sul 4% del fatturato aziendale e possono essere applicate solamente al Titolare ed al Responsabile del trattamento, non anche al DPO.

Vediamo quindi in concreto alcune misure di sicurezza di cui un’azienda grafica dovrà dotarsi al fine di essere in regola con il GDPR, in base alle proprie dimensioni e ai dati trattati. Si suggerisce alle aziende di eseguire prima di tutto una valutazione del rischio, fornendo alcuni spunti per mantenere lo stesso più basso possibile.

Per quanto riguarda la gestione dei dati del personale dipendente, dei clienti, dei terzi e dei fornitori il Titolare deve assicurarsi che il trattamento dei dati avvenga esclusivamente all’interno dell’azienda, a cui il personale possa accedervi in maniera controllata. Inoltre al fine di scongiurare il rischio di intrusioni esterne i locali devono essere dotati di un sistema di allarme.

La conservazione dei dati su supporti elettronici deve avvenire su hardware o software, dotati di misure di sicurezza che limitino il rischio di perdita e di accesso non autorizzato ai dati, con sistema di autenticazione degli utenti, alta frequenza di back up e presenza di antivirus, protezione delle reti (firewall) e cifratura dei dati.

Ovviamente il livello di rischio aumenta nei casi in cui l’utilizzazione dei dati avvenga su piattaforme estranee al sistema informatico aziendale, sempre che non si accerti che la tenuta dei dati da parte dei terzi sia conforme a quanto stabilito dal Regolamento.

Infine, per la conservazione dei dati cartacei si suggerisce l’utilizzo di archivi che vengano chiusi a chiavi e posizionati in armadi dotati di serrature. In aggiunta si raccomanda alle aziende grafiche dotate di un sito web che raccolga dati personali tramite cookies e questionari online (anche semplicemente al fine di rilasciare preventivi per l’attività da svolgere), di creare una pagina sulla privacyove vengano fornite informazioni in merito ai diritti degli utenti (tra cui anche il diritto all’oblio), nonché dove venga precisata l’utilizzazione dei dati volti a profilare gli utenti durante la navigazione sul sito web e dove altresì i navigatori dovranno rilasciare il consenso al trattamento dei propri dati.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here