La nuova legge sulla privacy è entrata in vigore dal 25 maggio 2018. Il nuovo regolamento europeo sulla protezione dei dati e della privacy online, anche noto con l’acronimo GDPR, quali dati proteggerà? E, soprattutto, cosa cambierà?
Con il nuovo regolamento cambieranno le regole per coloro che si trovano a maneggiare dati personali: ad esempio le società di telefonia, le pubbliche amministrazioni e qualsiasi azienda con cui l’utente si troverà a sottoscrivere un contratto contenente i suoi dati personali.
Ne consegue un aggravio non soltanto di adempimenti ma anche, e soprattutto, di costi.
L’adeguamento alle nuove norme sulla privacy sarà, soprattutto per i professionisti e per gli studi di medie dimensioni, comporterà un onere economico rilevante che, in base ad una stima degli esperti del settore, si aggirerà attorno ai 1.500 euro.
L’Unione Europea ha infatti modificato gli standard richiesti facendo applicare a tutti i paesi che ne fanno parte il GDPR. Si tratta di una nuova legislazione che cambia le regole per raccogliere, archiviare e usare le informazioni degli utenti. Ecco perchè, per poter mantenere i contatti esistenti, le aziende stanno informando del cambiamento e in alcuni casi di dare una nuova autorizzazione all’utilizzo dei dati.
Cambiamenti introdotti dalla nuova legge sulla privacy
Per le imprese e per i professionisti il Regolamento UE sulla protezione dei dati n. 2016/679 andrà ad interessare soprattutto le modalità di raccolta e trattamento dei dati personali.
Il regolamento introduce norme più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, e stabilisce anche criteri (e sanzioni) rigorosi nei casi di violazione dei dati personali.
Il regolamento è composto da 99 articoli ed obbliga tutte le aziende pubbliche e tutte quelle realtà in cui il trattamento dei dati presenta rischi specifici a conformarsi alle prescrizioni dettate in punto di privacy . Attenzione, però, il nuovo Regolamento riguarda solo il trattamento di dati personali delle persone fisiche
La nuova legge sulla privacy e il diritto all’oblio
La nuova normativa sulla privacy sancisce il diritto ad ottenere la cancellazione dei propri dati personali dalle notizie e anche dai motori di ricerca qualora il motivo che ha reso legittima la pubblicazione di quel dato non sia più di pubblica utilità.
Questo diritto può essere esercitato anche da un soggetto che vuole chiedere la cancellazione dei propri dati personali revocando il consenso al trattamento concesso per fruire di un determinato servizio.
Il diritto all’oblio del cittadino potrà essere limitato:
- Per garantire la libertà di espressione volta alla tutela di un interesse generale
- Quando i dati trattati in forma anonima sono necessari per la ricerca storica o per finalità scientifiche o statistiche.
La nuova legge sulla privacy e le sanzioni
Oltre a nuove regole sono state introdotte nuove sanzioni in caso di data breach, le violazioni dei dati che possono accadere, per esempio, in occasione di attacchi informatici. Tutti i cittadini, siano essi aziende o persone fisiche, avranno il diritto di conoscere la violazione dei dati che le aziende saranno obbligate a comunicare al Garante. Il Regolamento ha inoltre innalzato di molto la misura delle pene pecuniarie, che potranno arrivare fino ad un massimo di 20 milioni di euro o fino al 4% del fatturato annuo.
Privacy: Cosa cambia rispetto a prima
Le sostanziali novità introdotte dal GDPR rispetto alle precedenti normative sulla privacy riguardano 4 ambiti precisi:
1 L’ambito territoriale
Prevede che la nuova legge si applichi ai dati di tutti i cittadini europei e a tutte le società che trattano o gestiscono tali dati, a prescindere dal Paese in cui hanno la sede legale o in cui i dati vengono elaborati.
2 L’ottenimento di consenso
Come prima, il consenso al trattamento dei dati deve essere libero, informato ed esplicito. Non sarà infatti ammesso il consenso tacito o presunto. Per quanto riguarda i minori, il consenso sarà considerato valido a partire dai 16 anni.
Prima deve essere espresso da un genitore o da chi ne fa le veci. Quando un’azienda cerca di accedere a dati personali deve chiedere il consenso con «un linguaggio semplice e chiaro» (articolo 7).
Deve anche impegnarsi a spiegare bene perché e a quale fine utilizzerà alcune informazioni (articolo 13)
3 Il DPO, cioè del Data Protection Officer
In italiano Responsabile della Protezione dei Dati. Si tratta di una figura indipendente incaricata di assicurare una corretta gestione dei dati personali. Ma cosa sia e che compiti abbia il DPO non si è ancora capito.
4 Le sanzioni in caso di eventuali violazioni sono cambiate.
Chi infrangerà il GDPR potrà arrivare ad avere multe fino al 4% del fatturato annuo o 20 milioni di euro.
Quali dati protegge la nuova legge sulla Privacy
Il regolamento GDPR si applica a un’ampia gamma di dati personali.
Vengono regolati la raccolta di nome, numeri di identificazione e ubicazione, indirizzi IP, cookie e altre impronte digitali. Sul sito European Data Protection Supervisor i dati personali vengono così definiti:
«Qualsiasi informazione relativa a una persona fisica identificata o identificabile, denominata “persona interessata” – una persona identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento a un numero di identificazione o a uno o più fattori specifici della sua identità fisica, fisiologica, mentale, economica, culturale o sociale»
Facebook ed i dati personali
I destinatari del GDPR sono coloro che gestiscono i dati, cioè principalmente aziende, ma anche privati. E tutti quelli che quelli che sono preoccupati pensando che Facebook venda i dati personali? L’attenzione sulla legge sulla privacy non sarebbe stata così eclatante senza Mark Zuckerberg ed il problema dei dati raccolti da Facebook. Problema reale o fake news?
La verità è che Facebook non vende i nostri dati ma vende attenzione. Ossia aggregano i nostri dati ma senza fornirli alle aziende. Non fanno altro che programmare una pubblicità su misura calcolata elaborando i dati in loro possesso senza però divulgarli alle aziende che pagano.
Non tanto per buonismo ma semplicemente perchè non sarebbe una strategia di marketing sostenibile. A loro conviene molto di più far pagare per disporre della loro raccolta dati senza mai divulgarla.
