GDPR: cos’è e cosa fare per mettersi in regola?

A partire da maggio 2018 tutte le imprese e gli enti pubblici sono stati chiamati ad accogliere il nuovo regolamento sulla protezione dei dati personali, noto come GDPR. Cosa si intende per dato personale GDPR? Cosa tutela e cosa prevede? Scopriamo concretamente cosa cambia per le aziende e cosa fare per adeguarsi alla normativa.

GDPR: cosa significa? 

Cosa significa l’acronimo GDPR? General Data Protection Regulation, ovvero Regolamento generale sulla protezione dei dati. Si tratta di una serie di norme attraverso le quali la Commissione Europea punta a rafforzare la protezione dei dati personali dei cittadini dell’Unione Europea. Il testo è stato adottato il 27 aprile 2016 ed è entrato in vigore a partire dal 25 maggio 2018. Il regolamento affronta il tema dell’esportazione di dati personali al di fuori dell’Unione Europea, obbligando tutti i titolari del trattamento dei dati ad adempiere alla disciplina. Tramite il GDPR la Commissione Europea punta a restituire ai cittadini il controllo dei propri dati personali e a rendere omogenea la normativa sulla privacy all’interno del perimetro dell’Unione Europea.

GDRP: cosa devono fare le aziende

Ora che è stato spiegato GDPR cosa vuol dire, analizziamo, in pratica, col GDPR cosa fare nel dettaglio. In Italia il Regolamento generale sulla protezione dei dati sostituisce e abroga le norme del codice per la protezione dei dati personali (ovvero il Dlgs. 196/2003) con esso incompatibili.
Allora cosa fare per adeguarsi al GDPR? 

Se sei il titolare di un’azienda e ti stai chiedendo cosa fare per il GDPR e il GDPR cosa prevede, sappi che prima di tutto sei tenuto a nominare un Responsabile della Protezione dei Dati (RPD), adeguatamente formato. A questa figura spetta l’incarico di fornire informazioni relative alla propria attività ai dipendenti e collaboratori della società, oltre che ai clienti. 

GDPR privacy: cosa fare?

Stabilito il primo principio del GDPR, cosa bisogna fare? Il regolamento interviene su tre macrocategorie in materia di tutela della privacy:

• Diritto di accesso ai dati: le aziende devono essere trasparenti su modi e motivi per cui utilizzeranno i dati personali degli utenti. Tramite il registro delle attività di trattamento bisogna specificare le finalità della raccolta, le categorie dei dati personali e le misure tecniche/organizzative adottate.
• Diritto all’oblio: l’azienda è tenuta a cancellare completamente i dati personali che ha archiviato di un utente, che ha il diritto di ritirare il consenso al trattamento dei dati.
• Diritto alla portabilità dei dati: l’utente può scaricare i propri dati e trasferirli altrove. Il soggetto interessato ha il diritto di ricevere i dati che ha fornito all’azienda e ottenere che vengano forniti a un altro titolare del trattamento.

GDPR avvocati: cosa fare?

La domanda cosa fare per GDPR riguarda anche le singole professioni. Prendiamo ad esempio gli avvocati: nel momento in cui ricevono un mandato, vengono a conoscenza dei dati personali del loro cliente. Qualora intendano trattarli ulteriormente per una finalità differente da quella per cui sono stati raccolti, prima dell’ulteriore trattamento sono obbligati a fornire all’interessato informazioni in merito a tale finalità e ogni ulteriore informazione pertinente. Per quanto riguarda i legali, dunque, con il GDPR le cose non cambiano granché nella sostanza rispetto al passato. Il loro compito è quello di essere il più dettagliati possibile nel momento in cui sottopongono il documento al cliente.  

GDPR commercialisti: cosa fare?

Anche quella del commercialista è una figura professionale che si basa principalmente sul trattamento dei dati personali. I commercialisti devono garantire trasparenza verso i clienti e i propri dipendenti e i diritti elencati all’articolo 5 del GDPR, tra cui l’introduzione dell’obbligo di definizione di un periodo minimo di conservazione, decorso il quale i dati devono essere cancellati o resi anonimi. Inoltre il professionista, oltre a tenere un Registro delle attività di trattamento, deve verificare e integrare gli accordi con fornitori che trattano dati personali per conto dello studio, adottare misure di sicurezza tecniche e organizzative, gestire i data breach e adottare una procedura documentabile, verificare se i dati personali trattati sono trasferiti oltre i confini dell’Unione Europea, avendo cura che ciò avvenga nel rispetto del GDPR. 

GDPR sito web: cosa fare?

Chiunque navighi in internet non ha potuto fare a meno di accorgersi dei cambiamenti avvenuti a partire da maggio 2018. Da allora, ovviamente, anche tutti i siti web sono tenuti a osservare il regolamento GDPR. Chi possiede un sito è chiamato a verificare i plug-in installati, il loro funzionamento e i dati che trattano. Guai ad affidarsi al modello standard, perché per definizione non è compatibile con l’adeguamento di un sito e con il GDPR stesso. Il titolare del sito web deve adeguarsi agli articoli 13 e 14 del GDPR. 

Esistono dei plug-in per WordPress come Cookie Notice for GDPR, Cookie Consent e Iubenda Cookie Solution for GDPR che possono semplificare la vita, ma prima di installarli è sempre opportuno verificare la loro conformità e se rispettino le norme vigenti. Anche sul web, a fronte di un trattamento dei dati, è obbligatorio spiegare al soggetto come questi verranno usati. 

Il consenso rappresenta una delle basi giuridiche del trattamento dei dati e ogni trattamento dati va specificato, nel caso in cui ciò si verifichi in più pagine del sito. Ad esempio, se si predispone una newsletter, bisognerà redigere un’informativa su misura. Il sito deve spiegare quali dati richiede, come avviene il trattamento e le finalità, anche qualora la raccolta dovesse avvenire su base volontaria. Il titolare del sito ha inoltre l’obbligo di tenere traccia del consenso, per dimostrare il rilascio, la data e le eventuali revoche. I dati raccolti possono essere utilizzati solo per un periodo di tempo determinato.