Alzi la mano chi ha sentito nominare il termine “GDPR” almeno una volta!
Che tu abbia letto qualcosa a riguardo online o in una newsletter nella tua casella di posta, oppure che tu abbia sentito questo acronimo in una notizia alla radio o guardando un servizio in televisione, sicuramente ti sarai domandato che cosa sia questo fantomatico GDPR.
Da molti è stato definito come uno degli atti più rivoluzionari e incisivi in materia di protezione dei dati personali realizzato negli ultimi vent’anni.
GDPR sta per General Data Protection Regulation e altro non è che il Regolamento UE 2016/679 in materia di dati personali, entrato in vigore il 24 maggio 2016 e operativo dal 25 maggio 2018. A partire da questa data, 28 paesi (Italia inclusa) dovranno adeguarsi ad una serie regole univoche, rivolte a tutti coloro che tratteranno i dati personali dei cittadini europei.
Per capire bene la natura del GDPR è fondamentale sapere che cosa intendiamo quando parliamo di dato personale, il vero e proprio focus di questo nuovo regolamento.
L’obiettivo principale che sta alla base del GDPR infatti è proprio favorire la protezione dei dati personali. Quindi, è importante chiedersi: che cosa andiamo a proteggere?
Nonostante il dato personale non sia un concetto proprio recente, si tratta comunque di un argomento sul quale oggi molte persone fanno ancora troppa confusione.
Cerchiamo di fare un po’ di chiarezza.
Dati Personali
Tutte le informazioni che permettono di identificare una persona fisica, dando dei dettagli sulle sue caratteristiche, sulle abitudini, sullo stile di vita, relazioni personali, e così via.
Quindi, informazioni come nome, cognome, indirizzo di residenza, riferimenti bancari, etc. sono tutti dati personali.
Per proteggerli, le regole del GDPR intervengono sull’attività che li coinvolge, ossia il trattamento.
Se è importante sapere che cosa sia un dato personale, è altrettanto fondamentale sapere cosa intendiamo quando facciamo riferimento all’attività di trattamento.
In molti potrebbero pensare che solo quando facciamo qualcosa di concreto con i dati personali, se in un certo senso ce ne serviamo, vuol dire che li stiamo trattando. In realtà, anche solo raccogliere o addirittura cancellare i dati personali costituisce di fatto un’attività di trattamento.
Trattamento
“Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.” – General Data Protection Regulation 2016/679
Il GDPR determina una nuova interpretazione dell’attuale Codice della Privacy, vigente solo in Italia.
Si assiste ad un vero e proprio cambio di prospettiva, in quanto ora il protagonista della normativa non è più l’Interessato, bensì il dato personale.
Prima di guardare gli obiettivi che stanno alla base del GDPR, è bene capire quali sono le figure coinvolte dalle norme di questo Regolamento:
Per quale motivo si è deciso di intervenire con il GDPR? Perché ormai è diventato necessario regolamentare tutte le attività che ruotano attorno al dato personale, in modo tale da impedirne abusi e utilizzi scorretti.
In particolare, il Regolamento vuole raggiungere quattro obiettivi fondamentali:
Proteggere i dati personali dei Cittadini EU
Agevolare il controllo dei soggetti sui loro dati personali
Strutturare i ruoli e le responsabilità in capo ai Titolari e Responsabili
Semplificare le modalità di raccolta ed elaborazione dati
Come per ogni questione legislativa che si rispetti, anche il GDPR prevede inevitabilmente una serie di diritti e responsabilità, che vi anticipiamo qui sotto e che verranno approfonditi nei post successivi – per iscriverti alla newsletter di OpenSymbol, clicca qui.
Diritti Interessato
Responsabilità del Titolare del Trattamento
Con il GDPR, gestire e tutelare le informazioni sugli individui ora si tradurrà in una serie di procedimenti necessari ai Titolari e ai Responsabili per essere compliant, vale a dire per rispettare ed essere in linea con ciò indicato nel Regolamento. Dovranno essere messi in atto una serie di step concreti da implementare in tutti quei processi aziendali che, direttamente o indirettamente, prevedono il trattamento dei dati personali.
Sei in possesso di un CRM o ne fai uso? Prova a pensare a quanti dati personali potrebbero essere contenuti all’interno dei vari moduli o sezioni (anche se sei un’azienda B2B).
E se un giorno un cliente ti chiedesse di eliminare tutti i suoi dati personali in tuo possesso, saresti in grado di rispettare questa richiesta? In questo caso non dovresti limitarti solo alle informazioni contenute all’interno del CRM ma anche in eventuali mail, database, backup e così via.
Noi di OpenSymbol ci stiamo già muovendo per arrivare pronti al 25 maggio, sia in qualità di Titolari che in qualità di Responsabili.
QUALCHE RISORSA UTILE:
Testo del Regolamento completo
Disclaimer: Il contenuto di questo post vuole creare consapevolezza su determinati aspetti del GDPR. Non è offerto come consulenza legale su questioni specifiche e non deve essere considerato in quanto tale.