La nuova legge sulla privacy in Europa, la “temutissima” GDPR, è entrata in vigore. Dopo la confusione e il panico iniziale, la situazione si è definita in modo molto più stabile. Non tutti sanno che l’Europa non è l’unico continente coinvolto, ma lo sono anche le grandi aziende americane come Facebook, Google e Apple in quanto detengono e trattano dati di cittadini europei, anche se lo loro sedi non si trovano in paesi europei.
Leggi anche: GDPR: cambiano le norme sulla privacy
Anche le aziende americane devono adeguarsi
Dopo lo scandalo Cambridge Analytica, la questione della privacy ha dato il via ad un vero e proprio regolamento, appunto il General Data Protection Regulation, che di fatto rappresenta la più grande revisione degli standard di protezione dei dati a partire dal 1995, attribuendo nuove responsabilità a coloro che raccolgono, elaborano e archiviano dati, restituendone il potere a coloro che ne sono proprietari.
Così anche le aziende residenti negli Stati Uniti hanno dovuto conformarsi, o per lo meno tutti coloro che commercializzano o elaborano informazioni dei cittadini dell’UE, indipendentemente dal fatto che la sede sia in Europa. Pertanto, qualsiasi azienda che abbia una presenza online e commercializzi i propri prodotti su Internet, e che per impostazione predefinita raggiunge l’UE, deve necessariamente rispettare il GDPR, indipendentemente dalle dimensioni, dalla scadenza o dalle entrate. Numerose aziende americane fanno affari in Europa, per cui l’adeguamento è diventato obbligatorio.
Le aziende sono corse ai ripari: la resistenza iniziale è stata praticamente inutile, per molte realtà è stata anche costosa. D’altronde il GDPR pone chiaramente l’onere sulle imprese per ottenere il consenso del consumatore, che deve essere “liberamente dato, specifico, informato e non ambiguo“. Cioè, facile da comprendere anche se non si possiede una laurea in legge.
Agli utenti è data la possibilità di rivedere, revisionare, effettuare e persino cancellare qualsiasi dato su se stessi. Le aziende che non rispettano il GDPR possono essere multate fino al quattro percento del loro fatturato globale, ovvero fino a 20 milioni di dollari.
Leggi anche: GDPR testo: 5 cose che devi sapere assolutamente
8 regole per capire se si è a norma
Quali sono gli 8 passaggi da effettuare per capire se si è effettivamente e definitivamente in regola.
Eccoli di seguito:
1. In primo luogo è necessario documentare i dati personali, capire quindi quali poter trattare, da dove provengono, con chi vengono condivisi, per cosa sono stati raccolti ma soprattutto se sono ancora pertinenti e necessari per gli scopi per cui sono stati raccolti.
2. É necessario avere un motivo legale per raccogliere dati, infatti con il nuovo regolamento, le caselle di opt-out non sono più sufficienti. Devono invece essere opt-in, ovvero il cittadino potrà dare il suo permesso solo per i loro dati elaborati per un periodo limitato di tempo, per uno scopo strettamente definito (ad esempio, la raccolta del loro indirizzo di casa per spedirli un prodotto che hanno appena acquistato). Il consenso può essere ritirato in qualsiasi momento.
3. Le aziende devono essere in grado di notificare all’autorità la violazione della protezione dei dati entro 72 ore dalla scoperta.
4. Le imprese devono essere in grado di onorare le richieste di dati dei cittadini. In base ai nuovi regolamenti, i cittadini dell’UE possono richiedere la cancellazione, la modifica o il trasferimento dei dati ad una diversa organizzazione. I processi e le nuove tecnologie devono consentire di onorare le richieste degli utenti entro soli 30 giorni.
5. É necessario nominare un responsabile della protezione dei dati. Per le piccole imprese (quelle con meno di 250 dipendenti) un responsabile della protezione dei dati non è obbligatorio, ma è comunque una buona idea da adottare per delineare l’organizzazione interna. Qualcuno della tua squadra deve rimanere aggiornato con il regime di privacy e assicurarsi che la conformità sia in corso.
6. Il personale va debitamente aggiornato, infatti ogni azienda deve assicurarsi che il responsabile della protezione dei dati informi regolarmente tutti i dipendenti, in modo che siano aggiornati e acquistino familiarità sia con la privacy, sia con la conformità.
7. Essendo il GDPR “onnicomprensivo”, è necessario assicurarsi che tutte le entità nella catena di approvvigionamento siano conformi, ad esempio, se si archiviano le transazioni con i dati dei clienti su un servizio cloud, o l’utente è responsabile della conferma che il fornitore di servizi è conforme a GDPR.
8. Infine l’obbligo di dover informare tutti: è doveroso condividere sempre la politica sulla privacy, assicurandosi di aver rivelato a tutti gli utenti le parti interessate e ai clienti cosa si intende fare con i dati che hanno fornito.