IL GDPR NEL DETTAGLIO

Cos’è il “Regolamento Generale sulla Protezione dei Dati” (RGPD) e quali sono le nozioni base sulla sua conformità all’interno dell’Unione Europea?
Nel 2018 gran parte delle persone in giro per il mondo ha ricevuto parecchie mail inerenti il RGDP da aziende il cui lavoro viene svolto principalmente in Europa. Nonostante il cittadino medio si sia sentito probabilmente infastidito dalla mole di corrispondenza ricevuta in materia, ciò è diventato un requisito legale fondamentale per le società che intendono essere conformi al RGPD. Le comunicazioni sopra citate hanno aiutato tali aziende a raggiungere quello specifico obiettivo.
Ma di preciso cosa significa essere conformi al RGPD?
E di cosa si parla quando ci si riferisce al RGPD stesso?
Se sei una società attiva a livello Europeo conoscere le risposte a questi quesiti è d’obbligo. Di seguito verrà fornita una definizione del RGPD ed allo stesso modo si cercherà di fare chiarezza sull’insieme di regole che lo compongono tramite esempi pratici.
Inoltre verrà specificato come le aziende vengono messe, e rimangono, a norma secondo i requisiti del RGPD, in modo tale da rispettarne sempre gli attributi necessari in materia secondo la legge.
Ma, di preciso, cosa si intende per RGPD?
RGDP è l’acronimo di “Regolamento Generale sulla Protezione dei Dati” (in inglese “General Data Protection Regulation”/GDPR). Per essere ritenute responsabili secondo questo regolamento le aziende prese in considerazione devono condurre i propri affari in Europa.
In breve si tratta del testo base regolatore a cui dovrebbero rifarsi tutte le aziende e società che raccolgono e maneggiano dati sensibili.
Esso è stato ratificato dall’Unione Europea. La regione di tutto ciò va ricercata nell’ammontare sempre maggiore di informazioni personali che rilasciamo a queste compagnie; sia che ciò avvenga attraverso internet che tramite altri mezzi di comunicazione.
Ne risulta perciò che l’Unione Europea abbia voluto elaborare delle linee guida ben definite a riguardo. L’obiettivo era quello di rendere perseguibili le aziende per il modo in cui vengono gestiti i dati personali affinché questa pratica fosse il più responsabilizzata, chiara e legale possibile. In fine le direttive sono state stabilite in maniera tale che gli individui avessero maggiore controllo sulle loro informazioni.
All’interno del RGPD e della sua struttura vi sono 8 diversi principi ai quali le società devono attenersi per essere a norma con i requisiti minimi di esso:
- Legittimità;
- Correttezza e trasparenza;
- Limitazione dello scopo;
- Minimizzazione dei dati;
- Accuratezza;
- Limitazione della conservazione;
- Sicurezza;
- Responsabilità.
Analizziamoli ora nello specifico grazie ad alcuni esempi pratici.
-Legittimità.
Le aziende devono raccogliere, conservare ed utilizzare i dati in maniera legittima. In pratica ciò significa che una società Europea come “L’Oreal” non può raccogliere dati personali semplicemente appropriandosene, inoltre una volta ottenuti tali dati essi non possono essere utilizzati illegalmente. Quindi se “L’Oreal” è in possesso dei dettagli della carta di credito di proprietà di uno dei suoi clienti non potrà utilizzarli per acquistare beni illegali.
-Correttezza e trasparenza.
Le società che intendono ricadere all’interno delle norme del RGPD devono raccogliere i dati onestamente ed in maniera del tutto trasparente. “L’Oreal” ,per continuare con l’esempio precedente, dovrà essere il più aperta possibile sul perché si stiano ottenendo determinati dati sin da subito. Per farlo correttamente non dovrà fornire alcuna spiegazione fuorviante.
-Limitazione dello scopo.
Le informazioni personali una volta acquisite dovranno essere utilizzate per il solo scopo dichiarato in partenza. Quindi se “L’Oreal” raccogliesse dettagli sul colore ed il tipo di capelli per aiutare i clienti nella ricerca di prodotti per la colorazione, potrà usarli solo per quello specifico tipo di ricerca. Non potrà quindi usufruirne per inviare materiale di marketing mirato ai consumatori riguardo shampoo e balsami per il loro tipo di capigliatura.
-Minimizzazione dei dati.
Questa parte del RGPD cerca di limitare il numero di dati sensibili che una società può o dovrebbe avere su un solo individuo. Sempre per continuare con l’esempio “L’Oreal” ciò significa che potrà trattenere solo quelle informazioni utili nel suo campo. Quindi se dovesse essere trovata in possesso di dettagli sullo stato di salute o la situazione finanziaria di un cliente ciò potrà essere giudicato come superfluo rispetto alle sue necessità di azienda.
-Accuratezza.
Apparentemente una delle parti fondamentali del RGPD è l’obbligo imposto ad ogni compagnia di assicurarsi che le informazioni a sua disposizione siano accurate e veritiere. Tutto ciò è fondamentale per impedire che eventuali inesattezze possano nuocere all’identità di una persona in futuro.
-Limitazione della conservazione.
Questo passo all’interno del contesto del RGPD impedisce alle società di immagazzinare i dati di un determinato individuo indefinitamente. Inoltre i soggetti devono essere informati sul periodo di tempo durante il quale le proprie informazioni resteranno a disposizione dell’azienda.
-Sicurezza.
Una delle basi della regolamentazione di cui stiamo parlando era la necessità di aiutare le persone ad avere più fiducia nella divulgazione dei propri dati sensibili alle aziende, in modo tale che esse potessero utilizzarli in maniera più efficiente. Senza questa fiducia gli individui sono più propensi al non contare su alcuna informazione. Quindi le direttive impongono alle compagnie di conservare i dati in maniera salda e sicura. Nella pratica aziende come “L’Oreal” dovranno assicurarsi che i dati, sia che essi siano conservati elettronicamente che fisicamente, non risultino accessibili se non a chi di dovere.
-Responsabilità.
Le aziende di qualsiasi dimensione devono rendersi conto di essere responsabili per qualunque violazione del RGDP. Esse dovranno dotarsi quindi di robuste procedure di controllo di fedeltà al RGPD. Molto importante per le società è rendere noto in tempi brevi di un possibile utilizzo improprio dei dati. Quindi se “L’Oreal” dovesse scoprire che uno dei suoi centri per l’immagazzinamento dei dati è stato hackerato avrà l’obbligo di confessarlo alle autorità competenti. Inoltre sarà tenuta a relazionare sui motivi che hanno portato alla breccia nel sistema.
Come fanno le aziende a raggiungere ed in seguito rispettare i requisiti richiesti dal RGPD?
L’ultimo punto elencato ovvero la responsabilità giuridica, deciso dall’Unione Europea in base allo spirito del RGDP, è probabilmente il più importante di tutta la legislazione. Si tratta dell’elemento che più di ogni altro differenzia queste nuove regolamentazioni dalle leggi locali in materia definite dai vari governi. La responsabilità penale è stata così imposta alle aziende per il loro lavoro di raccolta e conservazione dei dati sensibili. Le società non dovranno quindi solo sperare di rimanere fedeli al RGPD ma anzi impegnarsi a studiare le eventuali variazioni della regolamentazione per essere sicure di rimanere sempre dalla parte giusta della legge.
La maggior parte delle aziende avrà così al suo interno una nuova figura di riferimento responsabile della conformità al RGPD e quella stessa figura dovrà conoscere la regolamentazione per filo e per segno. Inoltre si occuperà di dare una robusta base di partenza di procedure che verifichino la consonanza al RGPD da far seguire a tutta la società. Di vitale importanza è che gli impiegati che maneggiano effettivamente i dati personali siano istruiti sulla giusta maniera di utilizzo nei termini di legge.
Cosa possiamo affermare in conclusione?
Il RGPD ha un importanza più che rilevante all’interno delle dinamiche UE. Esso aiuta ad assicurare l’integrità dei dati ed al contempo protegge le persone dai furti di identità. Ne consegue che i cittadini dopo la sua entrata in atto hanno avuto una fiducia sempre maggiore nella sicurezza delle proprie informazioni e continueranno così a divulgarle. In cambio di ciò le società sono sempre più libere di operare in maniera più efficace possibile.
Consolidando le leggi sulla protezione dei dati e raggruppandole in un unico testo l’UE ha aiutato anche il processo di razionalizzazione per le aziende del campo. In passato sussistevano molte ed ampie differenze in materia tra i vari paesi dell’unione mentre adesso le società impegnate su tal fronte ,e che lavorano principalmente sul territorio Europeo, sanno come muoversi in maniera più precisa.