Cos’è il RGPD (Regolamento Generale Protezione Dati)?

Il 25 Maggio 2018 entrerà in vigore il primo aggiornamento degli ultimi 20 anni alle leggi europee di protezione dei dati. Il Regolamento Generale Protezione Dati (RGPD) dell’Unione Europea sostituirà la Direttiva di Protezione dei Dati del 1995.

Il RGPD rafforza i diritti individuali in materia di protezione dei dati personali e si prefigge lo scopo di armonizzare il modo in cui vengono protetti dalle leggi in tutta Europa. Il Regolamento si applica a tutti indifferentemente da dove i dati vengano elaborati.

Alpha4All e Assistenza Brokers si impegnano ad adempiere ai loro doveri nel rispetto del RGPD e a verificare che i propri partner e fornitori lo facciano a loro volta.

 

I principali cambiamenti per il RGPD

1. DIRITTI INDIVIDUALI

Consenso
Quando un individuo sta per lasciare le sue informazioni personali il responsabile dei dati (solitamente una società) deve assicurarsi che l’individuo abbia dato il consenso alla loro elaborazione. Il RGPD ha alzato l’asticella per quanto riguarda il rilascio di consenso, che deve essere “espresso dall’interessato liberamente e specificamente in riferimento ad un trattamento chiaramente individuato” e i responsabili devono usare un linguaggio “chiaro e semplice”. I responsabili dei dati dovranno anche documentare per iscritto la ricezione del consenso e fornire un’informativa all’interessato in cui si spieghi esattamente lo scopo del trattamento, quali dati verranno elaborati, a quale scopo e con quali conseguenze.

Con le normative precedenti, il consenso poteva essere inferito tramite un’azione o una mancanza di azione (es. Se continui ad utilizzare questo sito, accetti le condizioni), lasciando spazio all’interpretazione individuale. Il RGPD prevede invece il consenso dato esplicitamente e in forma affermativa.

In sostanza, i clienti non possono essere forzati a dare il loro consenso, o non essere consapevoli che i loro dati personali sono stati elaborati. Devo anche sapere esattamente a che cosa stanno acconsentendo e devono essere messi in condizione di cambiare idea in qualsiasi momento. Il consenso deve quindi prevedere un’azione – non può essere inferito dal silenzio, da caselle pre-selezionate o dall’inattività. Questo significa che informare l’utente mentre sta dando il suo consenso acquisisce un’enorme importanza.

Nuovi diritti per gli individui
Il regolamento accorda anche altri 2 nuovi diritti dell’individuo: un diritto all’oblio, a cui i responsabili del trattamento devono ottemperare in caso di richiesta, e un diritto all’accessibilità, ovvero il diritto di un individuo di richiedere i dati in possesso di un responsabile del trattamento in formato digitale. Questi diritti faciliteranno gli individui nella richieste di eliminazione o condivisione delle informazioni che una data società detiene su di lui.

Accessibilità dei dati
Parliamoci chiaro, è sempre stato possibile per un individuo richiedere i propri dati. Il RGPD rinforza questo diritto e lo regolarizza. I Responsabili del trattamento avranno un periodo di tempo preciso nel cui evadere le richieste, stabilito in 30 giorni. Le società potranno rifiutarsi di condividere queste informazioni, nel caso in cui la richiesta sia del tutto infondata o eccessiva. Inoltre, le società dovranno avere chiare politiche di rifiuto e procedure e dimostrare perché le richieste rifiutate non si adattano a questi criteri.

 

2. PROCEDURE INTERNE

DPA
Ci sono nuovi principi da attuare per le società responsabili del trattamento dei dati personali, incluso un sistema di protezione dei dati necessaria dalla fase di progettazione di nuovi sistemi informatici (privacy by design).

Inoltre, ogni qual volta un nuovo strumento atto a trattare dati personali viene adottato da una società sarà necessario effettuare una verifica preventiva riguardo ai rischi che potrebbe portare alla protezione dei dati. Si tratta di misure preventive da mettere in atto prima che potenziali rischi alla protezione dei dati si presentino.

Data Privacy Officer
Per quanto riguarda la sicurezza, il RGPD richiede la presenza di una figura chiamata Data Privacy Officer (DPO) che agevolerà le operazioni di adeguamento della società. Il suo compito sarà quello di rivedere tutte le procedure interne e l’affidabilità dei vari fornitori a cui la società si affida.

Contratti e Documenti sulla Privacy
Il RGPD è fondato sulla trasparenza e sull’equità di trattamento, per questo i titolari e i responsabili del trattamento dovranno adeguare al regolamento la propria documentazione in materia di privacy, cookies e altre politiche interne.

Tale adeguamento funzionerà in 2 sensi. Da un lato i titolari del trattamento dovranno assicurarsi che i fornitori a cui affidano dati sensibili siano protetti in modo adeguato tramite l’utilizzo di contratti che prevedano l’applicazione dell’Articolo 28 del regolamento.

Allo stesso modo i fornitori di servizi dovranno assicurarsi di avere contratti adeguati a disposizione per i propri clienti.

 

3. AUTORITÀ DI SUPERVISIONE

Centralizzazione dei controlli
Il RGPD permette di centralizzare la figura di controllo del lavoro avendo una persona responsabile di garantire l’adempienza al regolamento per tutte le società di un gruppo internazionale (one-stop shop).

Notifica delle violazioni
Il RGPD prevede che i titolari del trattamento notifichino l’autorità responsabile del proprio Paese di una eventuale violazione dei dati personali entro 72 ore da quando ne vengono a conoscenza, a meno che i dati non fossero aggregati, anonimi o criptati.

Questo significa che la maggior parte delle violazioni verranno segnalate al Garante della Privacy. Tali violazioni devono essere notificate anche agli individui interessati.

 

4. PORTATA, RESPONSABILITÀ E SANZIONI

Portata
Mentre la legislazione vigente, la Direttiva per la Protezione dei Dati del 1995, si preoccupava solo di individui sul suolo europeo, il RGPD amplia la portata a tutte quelle società che hanno come clienti o utenti cittadini europei, poco importa dove si trovino fisicamente le società o gli individui interessati. Quindi qualunque azienda che detenga dati di cittadini europei dovrà conformarsi al RGPD.

Responsabilità
Titolari e Responsabili del trattamento dovranno dimostrare la loro conformità al RGPD alle autorità di supervisione locali. I processi dovranno essere registrati, implementati e rivisti regolarmente. Lo staff dovrà essere sottoposto ad adeguata formazione e dovranno essere adottate misure tecniche e organizzative idonee a dimostrare la conformità.

Sanzioni
L’importanza del RGPD è sottolineata dalle nuove sanzioni previste a chi non si adeguerà. A seconda del tipo di violazione, titolari e responsabili del trattamento che avranno messo a rischio i dati personali potranno incorrere in sanzioni che possono arrivare fino a €20 milioni o fino al 4% del fatturato annuo (il più elevato dei due).

 

Modifiche ad Alpha4All e Assistenza Brokers

Modifiche ai Servizi
Il nostro team tecnico e della sicurezza è al lavoro per garantire le modifiche necessarie ai nostri servizi, in modo che siano conformi al RGPD.

Documentazione legale
Il nostro team legale ha revisionato e aggiornato tutta la documentazione legale (Termini e Condizioni, Data Processing Agreement e Norme sulla Privacy), che conterranno tutti i punti previsti dall’Articolo 28 del RGPD.

Trasferimento dei dati verso paesi non appartenenti all’UE
Assistenza Brokers e Alpha4All si stanno assicurando che tutti i fornitori a cui si appoggiano siano conformi al RGPD per quanto riguarda il trasferimento sicuro di dati sensibili a terzi, in particolare quando questo trasferimento avviene al di fuori dell’Unione Europea.

Abbiamo effettuato degli accertamenti o stipulato Data Processing Agreement, contenenti clausole contrattuali standard approvate dall’UE, per tutti i fornitori che hanno accesso a dati personali e sensibili.