Chi di noi, negli ultimi giorni, non ha avuto la casella di posta elettronica invasa da email sulla privacy di aziende che hanno il nostro contatto?

Questo perché da due giorni è ufficialmente in vigore il Gdpr (General Data Protection Regulation), ovvero il nuovo regolamento sulla privacy voluto dall’Unione europea e al quale le aziende dovranno adeguarsi per evitare di incorrere in pesanti sanzioni.

Il Gdpr in sintesi

Voluto dalla Commissione europea per proteggere i nostri dati sensibili, il Gdpr consta di 99 articoli e il suo scopo – molto brevemente – è quello di introdurre maggiori tutele in materia di privacy per i consumatori; tutto ciò a discapito delle aziende per le quali crescono le responsabilità.

In sintesi, grazie al nuovo regolamento europeo, nessuno potrà trattare i nostri dati personali senza prima aver ottenuto esplicitamente il nostro consenso; ma, cosa più importante, le aziende avranno il dovere di informarci in modo chiaro e senza lunghi giri di parole su come intendono utilizzare le informazioni che ci riguardano e per quanto tempo.

Doveri e responsabilità delle aziende

Un’informativa più chiara

La novità più importante introdotta dal nuovo regolamento sulla privacy riguarda la chiarezza. Addio, quindi, a informative chilometriche e policy scritte in un linguaggio comprensibile a pochi.

L’azienda dovrà chiedere il consenso con «un linguaggio semplice e chiaro» (articolo 7), spiegare bene perché e a quale fine utilizzerà le informazioni in suo possesso (articolo 13) e dichiarare per quanto tempo intende custodire tali dati, fornendo all’utente un ulteriore elemento di valutazione per cedere o meno le informazioni che lo riguardano.

Vincoli più stretti dunque, che costringeranno le aziende a richiedere soltanto informazioni strettamente necessarie.

Anche l’intento di condividere con altre aziende i dati per finalità di marketing dovrà essere indicato in modo chiaro e in caso di mancato consenso esplicito l’azienda non potrà cedere a nessuno i nostri dati.

Violazione dei dati personali

Con la precedente normativa se un soggetto esterno entrava in possesso di dati custoditi da un’altra azienda, le società potevano prendersi tutto il tempo necessario per comunicare l’accaduto.

Con il nuovo regolamento, invece, in caso di data breach chi detiene i nostri dati ha l’obbligo di comunicarlo entro 72 ore all’Autorità Garante. E, nel caso in cui tale violazione dovesse rappresentare una minaccia per il diritto alla privacy delle persone, è tenuto a informare tempestivamente anche tutti gli interessati comunicando il modo in cui intende circoscrivere eventuali danni.

Sanzioni per chi non si adegua

Quel che preoccupa più le imprese sono le nuove sanzioni. Secondo quanto previsto dal Gdpr, infatti, coloro che non si adegueranno alle nuove regole potranno incorrere in multe fino a 20 milioni di euro o al 4% del fatturato annuo.

Diritti degli utenti

Consenso esplicito

Così com’è stato fino a oggi, il consenso al trattamento dei dati personali rimane preventivo e inequivocabile. Viene a cadere, però, la regola del chi tace acconsente, perché cambiano le modalità per esprimere il consenso, che secondo il Gdpr dovrà essere esplicito.

L’azienda, dunque, a differenza di ciò che è accaduto negli anni precedenti, non potrà più avvalersi del sistema di caselle precompilate. Ma c’è di più, perché le aziende alle quali è stato rilasciato il consenso seguendo questa prassi saranno obbligate a richiedere nuovamente l’autorizzazione al trattamento dei dati avvalendosi delle nuove modalità previste dal Gdpr.

Per di più l’utente potrà revocare il proprio consenso in qualsiasi momento e l’azienda sarà obbligata a cancellare tutti i dati in suo possesso.

Modifiche importanti riguardano, poi, i minori di 16 anni, per i quali sarà necessario il consenso dei genitori o di chi ne esercita la potestà genitoriale.

Il diritto all’oblio

Il Gdpr introduce anche il diritto all’oblio, vale a dire la possibilità dell’utente di richiedere la cancellazione dei propri dati personali nei seguenti casi:

• i dati sono trattati solo sulla base del consenso;
• i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti;
• i dati sono trattati illecitamente;
• l’interessato si oppone legittimamente al loro trattamento.

Al diritto all’oblio si collega la conservazione dei dati, la cui durata dovrà essere collegata alla finalità per la quale è stato richiesto il consenso e non potrà essere illimitata.

La portabilità dei dati

Un’altra novità a favore dei consumatori è la possibilità di richiedere il trasferimento dei propri dati personali da un titolare del trattamento ad un altro.

Azioni collettive
Una delle ultime novità introdotte dal Gdpr è la possibilità di avviare azioni collettive contro l’uso dei propri dati (articolo 80). «L’interessato – si legge nel regolamento – ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro […] di proporre per suo conto e di esercitare per suo conto i reclami». In sostanza sarà meno facile per i giganti tech farla franca nel caso in cui gestiscano in maniera poco trasparente le nostre informazioni. E sarà meno difficile per le vittime di questo tipo di violazione ottenere un rimborso.