Gdpr, manuale per l’uso: le nuove regole sulla privacy
Oramai ci siamo: dal 25 maggio 2018 bisognerà adeguarsi al nuovo regolamento europeo sulla privacy, che riguarderà anche le agenzie di viaggi, i tour operator e le altre aziende del travel. Si tratta del General Data Protection Regulation (Gdpr) – in vigore dal 2016, seppur senza efficacia – per proteggere le persone fisiche dalla circolazione “selvaggia” dei dati personali, il cui massiccio scambio transfrontaliero è stata la diretta conseguenza dell’evoluzione tecnologica. Da qui, dunque, l’esigenza di alzare il livello di sicurezza, eliminando la frammentazione dovuta alle diverse leggi di recepimento della direttiva 95/46/Ce, abrogata proprio dal Gdpr. Un regolamento – e questa è una delle principali novità – che si applica anche alle imprese extra-Ue che offrono servizi o prodotti a persone che si trovano invece in territorio comunitario.
CONSENSO AL TRATTAMENTO DEI DATI. Il consenso per i dati sensibili (compresi quelli genetici e biometrici) deve essere esplicito, così come è obbligatorio acconsentire a trattamenti automatizzati, tipo la profilazione. E riguardo ai minori, l’autorizzazione è necessaria a partire dai 16 anni, altrimenti bisognerà consultarsi con i genitori o chi ne fa le veci. Poi, allo stesso modo dell’attuale regolamentazione, non è ammessa la “licenza tacita o presunta” e non sono quindi accettate caselle pre-spuntate sui moduli. Caratteristiche, queste, imprescindibili anche per i consensi raccolti prima del 25 maggio 2018.
NUOVE REGOLE PER L’INFORMATIVA. Cambiano anche i contenuti dell’informativa, ovvero le informazioni che l’azienda è tenuta a offrire ai clienti. In questo documento va specificato se i dati personali verranno trasferiti all’estero (non è più richiesta l’approvazione nazionale, a meno che siano presenti clausole o accordi particolari), il periodo di conservazione degli stessi o l’eventuale presenza di processi automatizzati. Se i dati personali non sono forniti direttamente dal cliente, l’informativa scritta (preferibilmente in formato elettronico) va trasmessa entro un mese dalla raccolta dei dati oppure al momento della comunicazione (non della registrazione). Resta, invece, obbligatorio informare la persona quando le finalità del trattamento dei dati cambiano. Laddove è presente, inoltre, bisognerà fornire i contatti di una nuova figura: il Data Protection Officer (Dpo).
DIRITTO ALL’OBLIO E NON SOLO. Secondo l’articolo 15, il diritto di accesso prevede di ricevere una copia dei dati personali oggetto di lavorazione. E fra le informazioni che il titolare deve dare non rientrano le modalità, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definirlo, nonché le garanzie applicate in caso di trasferimento del materiale verso Paesi terzi. Altro diritto è quello di cancellazione, il cosiddetto “diritto all’oblio”, in forma rafforzata. C’è poi il diritto di limitazione, nel caso in cui venga violato il “patto” sul trattamento dei dati e se l’interessato chiede la rettifica o si oppone alla loro trattazione, ai sensi dell’articolo 21. E ancora: il diritto alla portabilità dei dati, che naturalmente non riguarda archivi e registri cartacei, ed è permesso solo con il via libera dell’interessato o sulla base di un contratto, ed esclusivamente sui dati forniti dalla persona stessa.
DAL REGISTRO AL DPO. Viene introdotto il registro dei trattamenti, parte integrante di un sistema di corretta gestione dei dati personali. Dovranno averlo tutti, eccetto gli organismi con meno di 250 dipendenti che non effettuano lavorazioni a rischio. Si tratta di uno strumento fondamentale, redatto in forma scritta ed elettronica ed esibito su richiesta del Garante. In alcuni casi (vedi articolo 37) sarà obbligatoria la figura del Data Protection Officer (Dpo), che tra i suoi compiti avrà quello di sensibilizzare e formare il personale sui temi del trattamento dei dati.
CHI SBAGLIA PAGA. Per chi violerà il regolamento sono previste multe fino a 20 milioni di euro o al 4% del fatturato annuo globale. E il controllo sul rispetto del Gdpr sarà molto rigoroso, con la presenza di un One Stop Shop (Sportello Unico) per ogni Stato dell’Unione europea, che semplificherà la gestione e garantirà un approccio uniforme: le aziende con diverse sedi in Europa potranno rivolgersi verso un’unica autorità, semplificando così gli oneri burocratici.
