Finalmente grazie al GDPR, dal 25 maggio 2018, sarà applicato il nuovo regolamento europeo sulla privacy con importanti modifiche. Più sicurezza dunque per i dati personali, sulla privacy e più trasparenza sul consenso per il trattamento dei dati.
La nuova normativa prevede quindi più controllo e meno diffusione dei nostri dati personali. Sono coinvolte tutte le aziende pubbliche e private, sia sul web che quelle fisiche. Inoltre, se un’azienda subisce un data breach, cioè il furto e la diffusione dei dati in possesso, deve comunicarlo entro breve tempo.
Vediamo quali sono le novità del regolamento UE 2016/679.
Indice dei contenuti
Controllo, sicurezza e valutazione dati personali da parte delle aziende
Tutte le aziende che offrono beni o servizi e raccolgono dati sono obbligate a documentarne il trattamento, tra cui la sicurezza dei dati e la tutela dei diritti dei clienti e l’analisi dei rischi. Il titolare dell’azienda è quindi responsabile del mantenimento della privacy e della sicurezza.
Obbligo di segnalare i data breach
Se avviene una violazione dei dati personali, intesa come distruzione, perdita, modifica, divulgazione o accesso non autorizzato, l’azienda deve comunicare il data breach entro 72 ore all’autorità e agli utenti interessati. Se la violazione avviene ma i dati sono criptografati e quindi indecifrabili, l’azienda non è tenuta a comunicarlo agli utenti.
Coloro che non rispettano la legge vanno incontro a sanzioni severe.
Dati con scadenza di utilizzo
I dati personali non possono essere conservati e utilizzati per un periodo di tempo indefinito. La legge infatti stabilisce una “scadenza dei dati”, cioè possono essere utilizzati dalle aziende solo per un periodo ben definito. Questo periodo va specificato nell’informativa privacy e, superato il termine, i dati personali non potranno essere più utilizzati.
Specificare l’uso dei dati personali
Per evitare la diffusione impropria dei dati personali, grazie al nuovo regolamento, nel consenso sul trattamento dei dati l’azienda deve specificare anche l’utilizzo che ne farà. Grazie a ciò possiamo mantenere la privacy ed evitare la diffusione a terze parti.
Conoscere e cancellare i dati personali in possesso delle aziende
Il GDPR dà il diritto di conoscere quali sono i dati personali in possesso delle aziende, come vengono trattati, come li utilizzano e come li hanno ottenuti. Le aziende, inoltre, sono obbligate a dare tutte le informazioni richieste dagli utenti.
Inoltre subentra il nuovo diritto di richiede la cancellazione o la limitazione dei dati personali anche se non sono stati trattati in maniera impropria.
Tutte le aziende che non si adeguano alla legge o che non la rispettano vanno incontro a sanzioni fino a venti milioni di euro o fino al 4% del fatturato annuo. Conviene quindi adeguarsi sia per il rispetto della privacy degli utenti sia per non incorrere in pesanti sanzioni.