La privacy non si limita più solo alla nostra vita personale, ma si estende anche alla vita digitale. I dati che le persone condividono su Internet sono sensibili e devono essere adeguatamente protetti. Con l'aumento dei casi di furto di dati, l'Unione Europea ha compiuto un passo significativo nel 2016 introducendo il Regolamento Generale sulla Protezione dei Dati (GDPR) per proteggere e salvaguardare la privacy e la protezione dei dati di tutti i cittadini europei. Il GDPR si basa su sette principi che proteggono la privacy dei dati di ogni cittadino dell'UE. Inoltre, questa legge conferisce ai cittadini un maggiore controllo sul loro desiderio di condividere i propri dati personali. Sebbene sia una legge europea, non vincola solo le imprese europee. Secondo questa legge, qualsiasi individuo o organizzazione che gestisce i dati di un cittadino dell'UE è legalmente obbligato a conformarsi alle linee guida del GDPR.
L'Impatto del GDPR sulle Imprese
Prima di parlare di come il GDPR abbia cambiato il modo di operare delle imprese, chiarifichiamo alcuni termini essenziali:
- Titolari del Trattamento dei Dati (Data Controllers): L'articolo 4 del GDPR definisce i titolari del trattamento dei dati come un'entità (che può essere un individuo e/o un'organizzazione, ecc.) che determina le finalità e i mezzi di trattamento dei dati personali.
- Responsabili del Trattamento dei Dati (Data Processors): È l'entità che tratta i dati per conto del titolare del trattamento.
- Soggetti dei Dati (Data Subjects): Qualsiasi individuo vivente i cui dati personali vengono raccolti, conservati e trattati dai titolari e dai responsabili del trattamento è un soggetto dei dati.
- Dati Personali: Qualsiasi tipo di dato che identifica un individuo è considerato dato personale.
Sotto il GDPR, i titolari del trattamento dei dati, ovvero le imprese, sono obbligati a divulgare la raccolta dei dati dei soggetti dei dati, dichiarare lo scopo del trattamento dei loro dati e fornire ulteriori informazioni, come ad esempio i tempi di conservazione dei dati personali.
Oggi, i titolari del trattamento dei dati che elaborano regolarmente dati personali devono registrare le attività di trattamento per gestire la conformità al GDPR. Le organizzazioni complesse gestiscono enormi quantità di dati personali provenienti da più soggetti dei dati. Pertanto, molte di esse utilizzano strumenti moderni per aiutare nella gestione della conformità al GDPR.
Registro delle Attività di Trattamento
Si tratta di un'attività attraverso la quale le imprese formano un inventario del trattamento dei dati per tenere traccia di tutte le attività svolte sui dati personali interessati. L'articolo 30 del GDPR obbliga le imprese (Titolari e Responsabili del Trattamento) a mantenere il registro delle attività di trattamento come strumento per essere conformi al GDPR.
Tipicamente, il Registro delle Attività di Trattamento è gestito dall'Ufficio Privacy, ma tutti i dipartimenti dovrebbero essere coinvolti nella scoperta e nella gestione delle attività di trattamento.
Che cos'è un'Attività di Trattamento?
Un documento contenente informazioni sul trattamento dei dati, creato per scopi di inventario, che mostra la storia del trattamento dei dati personali è un'Attività di Trattamento.
Per adempiere all'Articolo 30 del GDPR, deve contenere un insieme di informazioni come:
- Una descrizione delle categorie di soggetti dei dati e delle categorie di dati personali
- Le ragioni (scopi) del trattamento dei dati raccolti
- Le persone e/o entità che vi hanno accesso (inclusi i destinatari in paesi terzi o organizzazioni internazionali)
- Dove possibile, i limiti temporali previsti per la cancellazione delle diverse categorie di dati
Ottenimento del Consenso
Il consenso è una delle basi legali per il trattamento dei dati definite dal GDPR (Articolo 6 GDPR – Legittimità del trattamento). I Titolari del Trattamento devono essere in grado di dimostrare di aver ottenuto il consenso dai soggetti dei dati prima di raccogliere, trattare e/o conservare i loro dati se il consenso è una base legale per il trattamento dei dati. In qualsiasi momento, il soggetto dei dati dovrebbe essere in grado di ritirare il proprio consenso.
Come ottengono il consenso le organizzazioni?
Per essere conformi a questa normativa, le imprese utilizzano generalmente un modulo (web o cartaceo) che richiede il consenso esplicito del soggetto dei dati per raccogliere, conservare e trattare i loro dati personali per uno scopo specifico.
Il consenso deve essere espresso in modo semplice, efficace e comprensibile affinché l'utente possa accettare o meno.
Esempi di Attività di Trattamento che Richiedono il Consenso:
Vendite:
- Assistenza ai consumatori
- Gestione dei reclami dei consumatori Informazioni sui clienti delle vendite
- Visite in negozio
Risorse Umane (HR):
- Utilizzo dell'immagine personale per campagne
- Comunicazioni internazionali
- Prenotazione viaggi
Marketing Digitale:
- Newsletter
- Campagne di marketing
- Ricerca di mercato
- Cookie sui siti web/app
- Bandiere dei cookie
L'Importanza dei Banners dei Cookie
Non possiamo parlare di privacy e dati personali senza menzionare i banner dei cookie. I cookie sono piccoli file di testo che contengono informazioni sulle attività dell'utente sul sito web. Di solito, sono memorizzati nel dispositivo utilizzato per accedere al sito web. I banner dei cookie sono piccole notifiche che appaiono sullo schermo proprio prima che l'utente carichi una pagina web.
Importanza dei Banner dei Cookie:
Per essere conformi al GDPR, un sito web deve presentare un banner dei cookie agli utenti chiedendo il loro consenso esplicito all'uso dei cookie, soprattutto quando il sito utilizza cookie che non sono strettamente necessari per la funzionalità del sito.
Questi banner dei cookie devono informare l'utente sull'uso dei cookie e devono consentire all'utente di scegliere se accettarli o meno. Se l'utente non vuole accettare l'uso dei cookie, non deve essere impedito di navigare nel sito. Richiedere il consenso all'utente non conclude i compiti necessari per avere un sito web conforme al GDPR.
Alla prossima!
