03/05/2018

Startup e GDPR: come essere in regola?

A partire dal 25 maggio entrerà in vigore il nuovo regolamento sulla protezione dei dati personali: ecco cosa fare per adeguarsi

 

 

In occasione dell'incontro con l'Unione Industriale, insieme alla Dottoressa Ambra Nipote Bellan e all'avvocato Savino Figurati abbiamo snocciolato i capisaldi del Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation), relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. In questo articolo proveremo a capire cosa cambierà a partire dal 25 maggio 2018, quando il regolamento sarà direttamente applicabile in tutti gli Stati membri dell'Unione Europea.

Il GDPR nasce da precise esigenze, come indicato dalla stessa Commissione Ue, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo. Si tratta di una risposta sia ai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini UE, sia soprattutto alle sfide poste dagli sviluppi tecnologici. Infatti a inizio ottobre il WP29 ha adottato tre fondamentali provvedimenti che avranno importanti ricadute su punti essenziali del GDPR proprio sul tema dell’innovazione tecnologica.

Cosa cambia nel regolamento generale sulla protezione dei dati

Dal principio di responsabilizzazione alla figura del DPO, dal Responsabile della protezione dei dati al diritto all'oblio, ecco, in sintesi, i punti più importanti che riguardano il GDPR:

  • Si introducono regole più chiare su informativa e consenso;
  • Vengono definiti i limiti al trattamento automatizzato dei dati personali;
  • Si pongono le basi per l’esercizio di nuovi diritti;
  • Si stabiliscono i criteri rigorosi per il trasferimento degli stessi al di fuori dell’Unione Europea;
  • Si fissano norme rigorose per i casi di violazione dei dati (data breach).


Tra le più importanti novità, c'è l'introduzione della responsabilizzazione dei titolari del trattamento (accountability), il quale dovrà comunicare eventuali violazioni dei dati personali (data breach) al Garante che, a sua volta, potrà imporre al titolare del trattamento di informare gli interessati sulla base di una propria valutazione dei rischi correlati alla violazione commessa.

Non a caso è stata prevista la figura del Responsabile della protezione dei dati” (Data ProtectionOfficer o DPO)incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati. Il DPO riferisce direttamente al vertice, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti e gli devono essere attribuite risorse umane e finanziarie adeguate alla mission. 

Un'altra novità che arriva con il Gdpr sul diritto all’oblio è nell’articolo 17: la richiesta di cancellazione rivolta a un titolare che abbia reso pubblici dati comporta anche l’obbligo di trasmetterla a tutti coloro che li utilizzano.

Tra le questioni più spinose che la GDPR porta con sè c'è la gestione del consenso, che ha effetti immediati principlamente nell'ambito del digital marketing e che andrebbe affrontato con molta attenzione. Sottoscrivere l'utente automaticamente a qualsiasi tipo di comunicazione in seguito all'attivazione di un account, presupponendo sufficiente il processo di opt-out o preselezionare i checkbox, rendendoli obbligatori per la registrazione, dal 25 maggio saranno comportamenti da evitare. Infatti, la norma prevede che ogni trattamento abbia un consenso separato (con un checkbox separato) e nessuno deve essere preselezionato. Inoltre, ogni checkbox deve essere accompagnato da una spiegazione esauriente riguardante il trattamento, il numero di email previsto alla settimana e i riferimenti basilari all'informativa privacy. Ci sono esempi pratici su come realizzare form GDPR-ready qui.

Prima di concludere, ecco le indicazioni fornite dalla Dottoressa Nipote e dall'avvocato Figurati nelle slide di seguito, sia per quanto riguarda la norma lato clienti, sia per quanto riguarda la norma lato dipendenti.

Buona lettura!

 

Il GDPR nelle startup from TreataBit

 

Il GDPR nel diritto del lavoro from TreataBit

 

Fonti: Ambra Nipote Bellan - Savino Figurati - Agenda Digitale - Email Marketing Blog.

Utilizziamo i cookies per garantire la funzionalità del sito e per tenere conto delle vostre scelte di navigazione in modo da offrirvi la migliore esperienza sul nostro sito. Inoltre ci riserviamo di utilizzare cookies di parti terze. Per saperne di più consulta la nostra Cookie Policy. Continuando a navigare sul sito, l'utente accetta di utilizzare i cookies.
OK