GDPR: il nuovo regolamento per il trattamento dei dati sensibili

Il GDPR (dall’inglese General Data Protection Regulation) è il regolamento generale dell’Unione europea sulla protezione dei dati personali. E’ stato emesso il 27 aprile 2016 dal Parlamento europeo ed entrerà in vigore il 25 maggio 2018. E’ importante sottolineare come il regolamento sarà valido direttamente e in modo uguale in tutti i paesi membri dell’Unione Europea.

Il nuovo regolamento apporta molte novità. Di seguito è possibile leggere 7 punti fondamentali per capire meglio di cosa si tratta e come cambierà il modo di usare l’email marketing.

1- I concetti Base del GDPR

Forse non è necessario, ma è bene fare un accenno ai concetti e agli attori che compongono il regolamento in modo da rendere più chiaro e semplice capire in cosa consiste.

  • Dato personale: è questo il punto su cui arriva il maggior cambiamento rispetto al passato, in pratica quelli che venivano definiti un tempo dati sensibili erano solamente alcuni dati che identificavano l’individuo, dal 25 maggio questa definizione sarà totalmente stravolta.

    Il nuovo Regolamento Europeo considera come personale qualsiasi dato che sia atto a identificare un individuo. Per la prima volta vengono inclusi tra i dati personali  anche le informazioni genetiche, i contenute in “cartelle cliniche precedenti”, informazioni e dati  di carattere “economico e finanziario” e ancora dati inclusi in ambienti “sociali e online”. Praticamente non ci sono dati personali che non ricadano sotto il GDPR, per cui è praticamente impossibile per le aziende sottrarsi al rispetto delle sue norme.

     LA NUOVA DEFINIZIONE DI DATO SENSIBILE DIVENTA QUINDI : qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»);

  • Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali (raccolta, registrazione, organizzazione, strutturazione, conservazione, ecc.);
  • Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;
  • Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
  • Ricevente: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi;
  • Profilazione: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica (rendimento professionale, situazione economica, salute, preferenze personali, interessi, affidabilità, comportamento, ubicazione o gli spostamenti).

2 – Documentare i processi dei trattamenti dei dati

E’ molto utile per velocizzare e organizzare al meglio il lavoro, sapere lo stato dei dati personali raccolti. Per farlo si consiglia di:

  • specificare lo scopo della raccolta dei dati personali e in seguito definire quali sono i dati che raccogli per poi categorizzarli;
  • documentare chi tratta i dati personali all’interno dell’azienda, con quali esecutori esterni (responsabili del trattamento) e partner (riceventi) vengono stipulati i contratti sul trattamento dei dati e cosa dicono questi contratti riguardo ad essi;
  • specificare se si tratta di dati personali non sensibili o dati personali sensibili, dove questi dati personali vengono custoditi, dove e in che modo i dati personali vengono processati e chi ha accesso a questi dati;
  • indicare quali misure sono state adottate e implementate per la protezione dei dati;
  • determinare il periodo di conservazione dei dati.

3 – Valutazione d’impatto sulla protezione dei dati 

La Valutazione d’impatto sulla protezione dei dati (dall’inglese DPIA -Data Protection Impact Assessments-) è un processo che aiuta a identificare e diminuire i rischi che si manifestano nel trattamento dei dati personali. Il GDPR richiede la preparazione del DPIA per tutti i processi, “che potrebbero indicare un alto rischio per i diritti e per le libertà delle persone fisiche”Le tre categorie principali, per le quali il GPR richiede il DPIA, sono:

  • la valutazione sistematica e ampliata degli aspetti personali delle persone fisiche (inclusa la profilazione);
  • il trattamento dei dati su larga scala, soprattutto se si tratta di dati sensibili;
  • la sorveglianza sistematica degli spazi pubblici su larga scala.

4 – Affidarsi ad un responsabile della protezione dei dati personali 

Il responsabile della protezione dei dati personali è un esperto della sicurezza aziendale. Il suo compito è di supervisionare la strategia del trattamento dei dati personali in un’azienda o dell’organizzazione. Inoltre, deve introdurre provvedimenti che garantiscano la conformità al GDPR.

5 – Realizza contratti con i tuoi responsabili del trattamento dei dati

Stipulare un contratto con il responsabile del trattamento dati è necessario per poter cedere i dati da gestire. E’ richiesto dal GDPR e vuole essere una sicurezza ulteriore per far comprendere obblighi e responsabilità. Il regolamento afferma che i titolari del trattamento sono responsabili della conformità al GDPR. 

6 – Traccia di audit

La traccia di audit deriva dall’inglese audit trail. E’ un meccanismo di sicurezza che stabilisce una panoramica cronologica degli avvenimenti verificatisi con un dato personale. Di solito contiene:

  • Tempo dell’avvenimento (data e ora);
  • Autore dell’avvenimento (utente o destinatario che ha eseguito l’avvenimento);
  • Tipo di avvenimento (per esempio: modifica dei dati, accesso ai dati, cancellazione dei dati, ecc.);
  • Parametri dell’avvenimento (per esempio: cambio del cognome, aggiunta della data di nascita, ecc.)

7 – Completa i punti della raccolta dei dati personali

Per punti della raccolta dei dati personali si intendono: registrazione nel negozio online, la raccolta dei dati tramite il form su Facebook, il modulo di iscrizione sul sito web, il pop-up sul sito web, ecc.

La raccolta di dati avviene solitamente tramite i moduli di iscrizione e le finestre pop-up. I consensi che bisogna raccogliere devono essere diversi per ogni scopo. Tutti gli scopi, hanno quindi bisogno della propria casella di conferma. Secondo il GDPR, il destinatario deve sempre avere la possibilità di dare il consenso per l’elaborazione di un determinato numero di dati per uno scopo.

Infine, è bene che le caselle di conferma non siano già segnate e che per ognuna di loro ci sia un collegamento che spieghi cosa significhi. La descrizione dettagliata deve includere le seguenti informazioni:

  1. Quali sono i dati che vengono raccolti: informare il destinatario che oltre ai dati che ha inserito nei campi, si raccolgono anche la data di iscrizione e l’indirizzo IP del computer;
  2. Lo scopo per cui vengono raccolti i dati: informare i destinatari della ragione per cui vengono raccolti i dati;
  3. Tempo di conservazione dei dati: il GDPR richiede di definire chiaramente dopo quanto tempo i dati verranno cancellati;
  4. Dove può il destinatario modificare i suoi dati personali e i consensi: è necessario informare i destinatari su dove possono modificare i propri dati personali e dove possono dare o rievocare i consensi per il trattamento dei dati personali;
  5. Con chi (e se) i dati verranno condivisi: bisogna avvertire i destinatari se e quando i loro dati vengono condivisi con altri soci d’affari (il GDPR li definisce come “riceventi” dei dati personali).