search Il media che reinventa l'impresa

RGPD: Chi è interessato da questo nuovo regolamento europeo?

RGPD: Chi è interessato da questo nuovo regolamento europeo?

Da Alexis Quentrec

Il 12 novembre 2024

Il Regolamento generale sulla protezione dei dati(GDPR) entrerà in vigore il 25 maggio 2018.
Questo regolamento europeo stabilisce e rafforza i nuovi obblighi relativi all'utilizzo (cioè al trattamento) dei dati personali dei cittadini europei.

Cosa sono i dati personali?

I dati personali sono dati legati a una persona fisica e che la caratterizzano. In genere si tratta di cognome, nome, indirizzo, indirizzo e-mail, ma anche data di nascita, indirizzo IP, ecc. In breve, qualsiasi informazione che possa essere utilizzata per identificare direttamente o indirettamente una persona fisica.

L'obiettivo del RGPD è controllare il trattamento di questi dati. Per trattamento si intende l'utilizzo dei dati attraverso un servizio informatico al fine di raggiungere un obiettivo specifico.

Ad esempio, i dati possono essere elaborati per inviare una newsletter a tutti coloro che hanno dato il loro consenso: l'indirizzo e-mail (eventualmente con nome e cognome) viene elaborato per inviare la newsletter.
Il trattamento può anche riguardare l'elaborazione di statistiche per conoscere meglio i clienti utilizzando strumenti di big data, con l'obiettivo di profilare la clientela.
Infine, non dobbiamo dimenticare un caso che riguarda tutte le aziende senza eccezioni: anche la gestione delle buste paga comporta il trattamento di dati personali.

Quali sono gli obblighi da rispettare?

Come suggerisce il nome, il regolamento riguarda la protezione da garantire ai dati personali. Le 88 pagine del regolamento definiscono un quadro di riferimento che deve essere rispettato e sviluppato. Di seguito abbiamo elencato alcuni dei punti chiave.

Oltre a elencare i punti tecnici da rispettare, il regolamento richiede che le aziende sappiano esattamente quali dati detengono, come vengono trattati, da chi e per quali scopi.
Ciò significa che è necessario tenere un registro del trattamento dei dati, che fornisca una guida di riferimento per identificare chiaramente e rapidamente le parti coinvolte e i dati interessati in caso di incidente di sicurezza.

Il regolamento fornisce anche un quadro di riferimento per il comportamento che le aziende devono promuovere nei confronti dei dati degli utenti finali, ovvero una maggiore trasparenza e responsabilità.
Di particolare rilievo sono gli obblighi di informare preventivamente gli utenti su quanto tempo i loro dati saranno utilizzati e soprattutto per quali scopi, in modo preciso ed esplicito.

È inoltre essenziale la nomina di un responsabile della privacy. È il principale artefice del rispetto degli obblighi del RGPD: responsabile delle analisi d'impatto, punto di contatto con gli utenti finali e le autorità, è la chiave di volta della conformità al RGPD.
Questo garante del RGPD può essere comune a più aziende, in particolare nello stesso settore di attività: il DPO può quindi essere una forza di proposta per garantire la sicurezza dei dati personali all'interno di diversi dipartimenti, ma offrendo la stessa protezione dei dati personali trattati.

Infine, attraverso il DPO, le aziende dovranno notificare alle autorità competenti eventuali fughe di dati entro un massimo di 72 ore dal momento in cui ne vengono a conoscenza. È previsto anche l'obbligo di informare gli utenti le cui informazioni sono trapelate, e deve essere accompagnato dai mezzi messi in atto per porre rimedio al problema.

Chi è interessato da questo regolamento?

Questo regolamento si applica alle aziende che trattano i dati di cittadini europei o di persone fisiche sul territorio europeo. Questi obblighi si applicano a tutte le aziende che operano in Europa, e quindi naturalmente a tutte le aziende stabilite in Europa.

Infine, il RGPD si applica anche alle aziende con sede all'estero che trattano dati personali per conto di aziende europee.

Non c'è quindi differenza tra editori e aziende utenti: la stessa preoccupazione per la protezione dei dati personali si applica a entrambi i tipi di aziende.

Sanzioni dissuasive

La conformità a questo regolamento deve diventare una parte fondamentale della strategia aziendale: se le aziende non prendono in seria ed effettiva considerazione gli obblighi di questo regolamento, le sanzioni sono severe.

Le sanzioni per le semplici violazioni possono arrivare fino al 2% del fatturato dell'azienda (nel caso di un'azienda appartenente a un gruppo internazionale, si tratta del 2% del fatturato del gruppo) o fino a 10 milioni di euro.
In caso di condotta grave, la sanzione è raddoppiata. In tutti i casi, l'importo più alto viene trattenuto.

Oltre al danno economico, le ripercussioni saranno maggiori in termini di immagine dell'azienda colpevole. Perché l'obiettivo di questo regolamento non è punire la fuga di dati, ma prevenire comportamenti rischiosi da parte di aziende poco attente ai dati personali.

Editori e utenti, la stessa battaglia?

Se devono soddisfare la stessa esigenza di protezione dei dati personali, c'è una leva comune: questi obblighi rappresentano un' opportunità.

Il regolamento è stato concepito per consentire a tutti gli utenti di un servizio di riacquistare il controllo sui dati che vengono comunicati con una certa facilità e trattati con scarsa attenzione alle loro finalità.

Questo apre la porta alle aziende e agli editori che desiderano dare un'immagine rispettosa e onesta, promuovendo un trattamento etico dei dati personali.
A tal fine, dovrebbero anticipare gli obblighi del RGPD offrendo agli utenti, ad esempio:

  • il controllo dei propri dati e del modo in cui vengono utilizzati, elencando in modo chiaro e preciso le varie operazioni di trattamento, con la possibilità di scegliere l'opzione "opting in".
  • La portabilità dei propri dati esportandoli in un formato standard (csv, rtf, ecc.).
  • Cancellare in modo chiaro e semplice i propri dati da uno spazio dedicato.
  • Avere un punto di contatto dedicato per qualsiasi domanda sul trattamento dei dati.

Per un editore, il valore aggiunto consisterà nel posizionarsi come facilitatore e nel dare ai propri clienti i mezzi per assumere un ruolo attivo in particolare nelle seguenti aree:

  • Controllo dei dati (localizzazione, possibilità di mascherare/criptare, ecc.).
  • Comunicazione in caso di incidente.
  • Trasparenza per quanto riguarda l'accesso e i mezzi di protezione implementati.
  • La presenza di un punto di contatto dedicato per qualsiasi domanda relativa alla riservatezza e al trattamento dei dati.

Una gara già in fase di sprint finale

Il RGPD entra in vigore domani. Per garantire l'osservanza degli obblighi previsti da questo regolamento, è essenziale affrontarlo fin da ora e anticipare gli sforzi necessari.

Conoscere e controllare il proprio patrimonio di dati è un compito intenso, che deve essere svolto da team aziendali le cui preoccupazioni sono molto lontane da queste tematiche.
Tutti gli attori coinvolti devono cooperare e coordinarsi per garantire la conformità al RGPD: affrontare le sfide profonde di questo regolamento è una vera opportunità per offrire un valore differenziante, in un contesto legato ai dati che sta subendo un cambiamento duraturo.

Articolo tradotto dal francese