Prima di tutto, dovresti conoscere il significato di questi acronimi, RGPD, perché sarà molto importante per lo sviluppo del tuo modello di business digitale. Ebbene, è equivalente a quello che in realtà è il Regolamento generale sulla protezione dei dati (RGPD) e che è entrato in vigore molto di recente. E se hai un file commercio o negozio online Dovrai rispettare la normativa per non cogliere altre sorprese negative d'ora in poi.
Devo fare qualcosa per adattare il mio negozio o la mia attività al GDPR? In questo senso, dovresti sapere che il RGPD è un regolamento approvato a livello di Unione Europea e il suo obiettivo è garantire la protezione delle informazioni personali.
D'ora in poi, tutte le aziende dovranno rendere disponibile sul proprio sito web una Privacy Policy che spieghi come sono trattamento dei dati che hanno clienti, collaboratori, dipendenti o semplicemente interessati a ricevere informazioni commerciali.
Nuovi principi inclusi nel RGPD
Nell'attuale regolamento sulla protezione dei dati a livello europeo sono previsti nuovi scenari per i titolari di un'impresa digitale. E tra i quali ci sono i seguenti aspetti che ti esponiamo di seguito. Dove è anche necessario che si tenga conto che il Parlamento europeo e il Consiglio hanno finalmente approvato il Regolamento generale sulla protezione dei dati (RGPD), che, con l'aspirazione di unificare i regimi di tutti gli Stati membri in materia, è entrato in vigore il 25 maggio 2016, anche se la sua conformità sarà obbligatoria solo dopo due anni da tale data.
Principio di responsabilità. Devono essere implementati meccanismi per dimostrare che sono state adottate tutte le misure necessarie per trattare i dati personali come richiesto dalla norma. È una responsabilità proattiva. Le organizzazioni devono essere in grado di dimostrare di soddisfare questi requisiti, il che richiederà lo sviluppo di politiche, procedure, controlli, ecc.
Principi di protezione dei dati per impostazione predefinita e per progettazione. In questa occasione, devono essere adottate misure per garantire il rispetto dello standard dal momento in cui un'azienda, un prodotto, un servizio o un'attività che comporta l'elaborazione dei dati viene progettata, di regola e dalla fonte.
Principio di trasparenza. Le note legali e le politiche sulla privacy dovrebbero essere più semplici e comprensibili, facilitando la loro comprensione, oltre che più complete. E 'altresì previsto che, al fine di informare sul trattamento dei dati, possano essere utilizzate icone standardizzate.
Nuovi obblighi per le aziende digitali
A volte, sarà obbligatorio designare un Delegato per la protezione dei dati (DPO), interno o esterno, per assistere le organizzazioni nel processo di conformità normativa. Tuttavia, la complessità del nuovo standard renderà questa cifra altamente raccomandata nella stragrande maggioranza delle organizzazioni.
In alcuni casi, devono essere effettuate valutazioni dell'impatto sulla privacy, che determineranno in ultima analisi i rischi specifici coinvolti nel trattamento di determinati dati personali e prevedono misure per mitigare o eliminare tali rischi.
Le multinazionali avranno come interlocutore un'unica autorità nazionale di controllo: quella dello stabilimento principale dell'ente. È ciò che è noto come una singola finestra.
Le violazioni della sicurezza devono essere comunicate alle autorità di controllo e, nei casi gravi, agli interessati, non appena note, stabilendo un periodo massimo di 72 ore.
Dati sensibili: I dati protetti in modo speciale vengono ampliati, includendo ora i dati genetici e biometrici. Rientrano in questa categoria anche i reati e le condanne penali, sebbene non amministrative.
La selezione di un responsabile del trattamento è più difficile, poiché sarà necessario sceglierne uno che fornisca sufficienti garanzie di conformità normativa.
Garanzie aggiuntive per i cosiddetti trasferimenti internazionali di dati: con l'istituzione di garanzie più rigorose e meccanismi di monitoraggio in relazione ai trasferimenti internazionali di dati al di fuori dell'Unione Europea.
Sigilli e certificazioni: è previsto che vengano creati sigilli e certificazioni di conformità che consentano di accreditare la Responsabilità da parte delle organizzazioni.
Scompare l'obbligo di registrazione dei file, che viene sostituito da un controllo interno e, in alcuni casi, da un inventario delle operazioni di trattamento dei dati che vengono effettuate, che è intuito da un contenuto simile a quello che attualmente ha la forma in questione .
sanzioni: crescono gli importi delle sanzioni per inosservanza della normativa, raggiungendo i 20 milioni di euro ovvero il 4% del fatturato globale annuo (non escluso dalle sanzioni alle Pubbliche Amministrazioni, anche se gli Stati membri possono convenire).
Nuovi diritti previsti dal regolamento
Trasparenza e informazione. Le organizzazioni, nel trattare i dati personali, devono fornire maggiori informazioni e in modo più intelligibile, completo e semplice, che favorisca il processo decisionale da parte del cittadino. Particolare attenzione viene data ai minori a questo punto.
Consenso. Il consenso per poter trattare i dati personali deve essere inequivocabile, libero e revocabile e deve essere prestato mediante un chiaro atto affermativo. Non è consentito il tacito consenso.
Diritto all'oblio. Il consenso prestato al trattamento dei dati personali può essere revocato in qualsiasi momento, potendo richiedere la cancellazione e l'eliminazione dei dati nei social network o nei motori di ricerca internet.
Diritto alla limitazione del trattamento in questione. Consente al cittadino di richiedere il blocco temporaneo del trattamento dei propri dati in caso di controversie sulla sua legalità.
Portabilità dei dati. Il cittadino potrà richiedere il trasferimento di dati personali da un provider di servizi Internet a un altro.
Denunce, contestazioni. I reclami possono essere presentati tramite associazioni di utenti.
Risarcimento e sanzioni per inadempienza. Si riconosce la possibilità di chiedere il risarcimento dei danni derivanti dal trattamento illecito di dati personali.
Il responsabile del fascicolo può stabilire una tariffa per rispondere agli esercizi del diritto di accesso, tenendo conto dei costi amministrativi che ciò comporta.
Considerazioni sulla sua corretta applicazione
Nonostante quanto sopra, sono ancora molti gli aspetti ancora in attesa di sviluppo e concretizzazione che vengono stipulati in questo regolamento. In questo senso, va notato che gli Stati membri, le autorità di controllo, il Comitato europeo per la protezione dei dati e la Commissione devono specificare una moltitudine di elementi che appaiono nel RGPD che sono troppo ambigui o vaghi.
In ogni caso, le disposizioni contenute nei Regolamenti sono direttamente applicabili in ciascuno degli Stati membri, senza necessità di recepimento, e obbligano le aziende private e le istituzioni pubbliche ad affrontare un importante processo di riadeguamento normativo.
Tuttavia, il RGPD non abroga automaticamente il LOPD e i suoi regolamenti di attuazione. Li sposta semplicemente nella misura in cui sono incompatibili con esso. Nelle aree in cui questa incompatibilità non si verifica, coesisteranno entrambe le normative, il che fa prevedere molti problemi pratici e interpretativi, la cui risoluzione richiederà l'assistenza di professionisti specializzati che offrano sufficienti garanzie. Mentre d'altra parte, il processo di riadattamento non è tecnicamente facile, quindi sarà importante per le aziende avere una consulenza legale specializzata che offra sufficienti garanzie.
Ottieni un servizio di protezione dei dati
Un buon modo per ottenere un servizio di protezione dei dati è chiedere preventivi al Associazione delle società di protezione dei dati (AEPD.org). In questo senso, AEPD.org ha uno spostamento ufficiale tra le sue società associate. Il suo funzionamento è semplice: bisogna richiedere un budget ad AEPD.org e questa stessa associazione lo distribuisce tra i suoi associati, cercando di far sì che il cliente finale riceva una buona consulenza.
Se non vai su AEPD.org, l'unico modo per ottenere stime è andare uno per uno sui siti web delle società di protezione dei dati. Questa procedura è più lenta, ma anche efficace. Nelle prossime settimane faremo e pubblicheremo un elenco di aziende LOPD, per rendere più facile questa operazione. Per il momento, forse l'opzione migliore è rivolgersi all'Associazione delle società di protezione dei dati.
Ultime conclusioni
Il consenso deve essere prestato attraverso un chiaro atto affermativo che rifletta una manifestazione libera, specifica, informata ed inequivocabile dell'interessato ad accettare il trattamento dei dati personali che lo riguardano, quali una dichiarazione scritta, anche con mezzi elettronici, o una dichiarazione verbale .
Ciò potrebbe includere la selezione di una casella su un sito Web su Internet, la scelta di parametri tecnici per l'utilizzo dei servizi della società dell'informazione o qualsiasi altra dichiarazione o comportamento che indichi chiaramente in questo contesto che l'interessato accetta il trattamento proposto dei propri dati personali. Pertanto, il silenzio, le caselle spuntate o l'inazione non dovrebbero costituire consenso.
Il consenso deve essere prestato per tutte le attività di trattamento svolte per le stesse o le stesse finalità. Quando il trattamento ha più finalità, il consenso deve essere prestato per tutte. Qualora il consenso dell'interessato debba essere prestato a seguito di una richiesta con mezzi elettronici, la richiesta dovrà essere chiara, sintetica e non perturbare inutilmente la fruizione del servizio per il quale è fornita.