GDPR privacy e il controllo dei dati personali
Nelle ultime settimane tutte le newsletter e i servizi online a cui siamo iscritti ci hanno mandato una mail per avvisare di alcuni cambiamenti riguardo la privacy e il controllo dei dati personali.
L’Unione Europea ha infatti alzato gli standard richiesti facendo applicare (dal 25 maggio 2018) a tutti i paesi facenti parte dell’UE il GDPR una nuova legislazione che cambia le regole per raccogliere, archiviare e usare le informazioni degli utenti e dunque, per poter mantenere i contatti esistenti, le aziende stanno informando del cambiamento e in alcuni casi di dare una nuova autorizzazione all’utilizzo dei dati.
Spesso però non è chiaro a cosa si sta dando l’autorizzazione, ecco perché abbiamo pensato di semplificarne il contenuto.
Innanzitutto: GDPR è l’acronimo di General Data Protection Regulation (in italiano Regolamento Generale sulla Protezione dei Dati – Regolamento Europeo UE 2016/679).
L’obiettivo di questa nuova legge sulla privacy è quello di permettere ai cittadini europei di avere un controllo maggiore sul modo in cui singoli, aziende ed enti pubblici raccolgono e utilizzano i loro dati personali.
Poi, in parole povere, ecco in cosa consiste, cosa cambia e cosa fare.
Cos’è il GDPR
Come abbiamo detto, il GDPR è il regolamento europeo per la protezione dei dati personali che va a sostituire l’attuale Direttiva 95/46/EC sulla Protezione dei Dati, risalente al 1995.
Questa nuova legge tiene conto dei repentini cambiamenti avvenuti nel mondo digitale e va inoltre a unificare le leggi europee a riguardo, con il preciso obiettivo di far salvo il (nostro) diritto a essere in pieno controllo delle informazioni che ci riguardano.
Il regolamento è composto da 99 articoli tutti volti a dare maggiore controllo ai cittadini dei loro dati personali, e chiarire le responsabilità in caso di violazioni della privacy.
Inoltre, il GDPR istituisce alcuni principi fondamentali molto discussi recentemente: il diritto all’oblio (gli utenti possono chiedere di rimuovere informazioni a proprio riguardo per sempre), la portabilità dei dati (si possono cioè scaricare e trasferire dati da una piattaforma all’altra, senza vincolarsi a un certo account) e l’obbligo di notifica in caso di data breach (le aziende, se subiscono fughe di informazioni sensibili, devono comunicarlo agli utenti di cui hanno i dati entro 72 ore).
Cosa cambia rispetto a prima
Le sostanziali novità introdotte dal GDPR rispetto alle precedenti normative sulla privacy riguardano 4 ambiti precisi: l’ambito territoriale, l’ottenimento del consenso, l’introduzione del DPO e le sanzioni.
L’ambito territoriale prevede che la nuova legge si applichi ai dati di tutti i cittadini europei e a tutte le società che trattano o gestiscono tali dati, a prescindere dal Paese in cui hanno la sede legale o in cui i dati vengono elaborati.
L’ottenimento di consenso: come prima, il consenso al trattamento dei dati deve essere libero, informato ed esplicito, poichè non sarà ammesso in alcun modo il consenso tacito o presunto. Novità per quanto riguarda i minori, il cui consenso sarà considerato valido a partire dai 16 anni, prima di quell’età il consenso deve essere espresso da un genitore o da chi ne fa le veci.
Collegato all’ottenimento del consenso è l’introduzione del DPO, cioè del Data Protection Officer (in italiano Responsabile della Protezione dei Dati). Si tratta di una figura indipendente incaricata di assicurare una corretta gestione dei dati personali. Come è stato fatto notare, tuttavia, non è ancora bene chiaro cosa sia e che compiti abbia il DPO.
Anche le sanzioni in caso di eventuali violazioni sono cambiate. Chi infrangerà il GDPR (ad esempio con la mancata acquisizione del consenso) potrà arrivare ad avere multe fino al 4% del fatturato annuo o 20 milioni di euro.
Quali dati protegge
Il regolamento GDPR si applica a un’ampia gamma di dati personali tra cui nome, numeri di identificazione e ubicazione, nonché indirizzi IP, cookie e altre impronte digitali.
Sul sito European Data Protection Supervisor i dati personali vengono così definiti:
«Qualsiasi informazione relativa a una persona fisica identificata o identificabile, denominata “persona interessata” – una persona identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento a un numero di identificazione o a uno o più fattori specifici della sua identità fisica, fisiologica, mentale, economica, culturale o sociale»
Cosa cambia per noi utenti?
I destinatari del GDPR sono coloro che gestiscono i dati, cioè principalmente aziende, ma anche privati.
Il nuovo regolamento però, come è facilmente intuibile, riguarda anche noi singoli utenti.
Come? Innanzitutto, ci si può aspettare di essere informati di più su come vengono utilizzati i propri dati: le aziende devono essere chiare e trasparenti su tutto, ecco perché potreste ricevere una raffica di mail che chiedono di spuntare le caselle per dare il consenso per l’uso dei dati.
Ma non solo le aziende, tutte le piattaforme online e i social network stanno aggiornando le loro politiche sulla privacy e i termini di servizio.
Il modo in cui Facebook utilizza i dati personali è infatti stato oggetto di un’attenta analisi per via dello scandalo di Cambridge Analytica, che ha spinto molti utenti a cancellare i propri account.
Da allora Facebook ha già cambiato sue impostazioni sulla privacy apportando nuove funzionalità (** scopri di più qui **), ma in ogni caso tutti i social network e le piattaforme online dovranno mettersi in regola con il nuovo regolamento, quindi aspettatevi di ricevere notifiche sui nuovi termini e condizioni relative all’utilizzo e alla navigazione.