gdpr

[Aggiornamento 2022]

Entrata in vigore il 28 Maggio 2018, la GDPR (General Protection Regulation) ha sostituito la vecchia Direttiva sulla Protezione dei Dati sul territorio dell’Unione Europea. Anche in Cina dal 1 Novembre 2021, è entrata in vigore la PIPL (Personal Information Protection Law), una legge molto simile alla GDPR Europea per il suo meccanismo di azione ( si applica alle aziende situate al di fuori della Cina che trattano dati riferibili a persone fisiche presenti in Cina) ma con differenze sostanziali.

Senza entrare nel dettaglio, vale la pena evidenziare una grande differenza con la GDPR che riguarda i cosiddetti dati sensibili. Nella PIPL per dati sensibili si intendono quelle informazioni che se diffuse o usate in modo illecito possono causare un danno alla dignità della persona, danni biologici o patrimoniali. Le aziende italiane o europee a cui si applica la PIPL dovranno quindi prestare la massima attenzione a questo aspetto.

Cos’è la GDPR e quali obblighi comporta?

Come abbiamo, forse, ormai capito la GDPR si applica a tutte le aziende che processano dati personali, indipendentemente dalla localizzazione dell’azienda stessa e violarla può comportare sanzioni fino a 20 milioni di Euro o il 4% del fatturato globale per i gruppi aziendali.

Fra gli obblighi da tenere in considerazione troviamo:

  • Il Diritto all’oblio;
  • Il consenso informato deve essere espresso in forma semplice e comprensibile a tutti;
  • L’utente deve avere accesso ai suoi dati personali che sono conservati e cancellarli se lo ritiene opportuno;
  • In caso di data breach, ovvero una fuga di dati, il Titolare deve comunicare l’accaduto entro 72 ore dal momento in cui ne è venuto a conoscenza;
  • La creazione di un registro delle attività dove si elencano le finalità dell’elaborazione dei dati, i destinatari e l’eventuale scadenza per la loro cancellazione;
  • Privacy by Design e by Default;

All’interno della GDPR vediamo coinvolte nuove figure: l’utente, il Titolare del trattamento, il Responsabile del trattamento e il Data Protection Officer (DPO). Vediamole più nel dettaglio.

  • L’utente: è il proprietario dei dati che verranno trattati;
  • Il Titolare del trattamento: detto anche Controller è quella persona che, singolarmente o insieme ad altri, decide la finalità e i mezzi del trattamento dei dati personali. Possiamo avere anche due o più Titolari ed in questo caso parliamo di Contitolari;
  • Il Responsabile del trattamento: detto anche Data Processor è colui che tratta i dati personali per conto del Titolare del trattamento ed ha il compito di mettere in atto misure organizzative per garantire la tutela e i diritti dell’utente rispettando i requisiti della GDPR;
  • Data Protection Officer (DPO): è la figura responsabile della protezione dei dati, più precisamente è incaricato di sorvegliare e fornire consulenza sulla corretta applicazione della normativa.

L’importanza dell’accountability: di cosa stiamo parlando?

L’accountability è uno dei pilastri fondamentali della GDPR ed è una vera e propria novità in quanto cambia il precedente sistema introducendo la responsabilizzazione (accountability appunto) del Titolare del trattamento che deve essere in grado di motivare le scelte adottare le quali devono essere sempre finalizzate ad assicurare l’applicazione del regolamento.

Il principio dell’accountability richiede la documentazione di tutto il processo di raccolta e mantenimento dei dati personali in modo da poter dimostrare di essere in linea con i requisiti richiesti dalla GDPR e ciò obbliga a scrivere tutti i dati che sono stati collezionati, per quali motivi e con chi sono stati condivisi.

In caso di un’investigazione, dovremmo essere in grado di fornire queste informazioni.

Chi è il Data Protection Officer?

Il Data Protection Officer (abbreviato in DPO) è la figura responsabile della protezione dei dati, più precisamente è incaricato di sorvegliare e fornire consulenza sulla corretta applicazione della normativa nelle imprese e negli enti.

Si tratta di una figura che deve possedere una conoscenza specialistica della normativa e della prassi in materia di protezione dei dati ed anche delle norme e delle procedure amministrative che caratterizzato il settore.

È importante ricordare che il DPO non risponde personalmente in caso di inosservanza del GDPR in quanto la responsabilità ricade sempre sul Titolare del trattamento o il Responsabile del trattamento i quali devono essere in grado di dimostrare che le operazioni sono conformi alle disposizioni di legge.

Quali sono le sue mansioni?

Più nel dettaglio, i suoi compiti sono elencati nell’articolo 39 del Regolamento Europeo il quale stabilisce che tale figura debba:

  • informare e fornire consulenza relativa agli obblighi di legge al Titolare del trattamento, al Responsabile del trattamento e ai dipendenti che eseguono il trattamento;
  • controllare l’osservanza del Regolamento da parte del Titolare o del Responsabile sensibilizzando e formando i dipendenti che partecipano alle operazioni di trattamento dei dati e alle relative attività di controllo;
  • fornire pareri circa la valutazione d’impatto sulla protezione dei dati;
  • collaborare con l’autorità di controllo effettuando consultazioni su qualsiasi altra eventuale questione.

Tuttavia, nonostante la sua importanza e qualifica, ad oggi non è ancora chiaro cosa sia il DPO e quali siano le sue mansioni ed è per questo motivo che si trova al centro di questioni controverse e dibattute.

Per quali aziende è obbligatorio?

L’articolo prevede l’obbligo di nomina del DPO quando l’attività del Titolare del trattamento o del Responsabile del trattamento ″consista in trattamenti richiedenti il monitoraggio sistematico su larga scala″ e quando “riguardano il trattamento, su larga scala, di informazioni sensibili o di dati relativi a condanne penali e a reati”.

Insomma, nonostante l’assenza di chiarezza del regolamento, il Garante per la protezione dei dati personali raccomanda l’assegnazione di questa figura anche quando non sussistono i presupposti di obbligatorietà.

Non ci resta che aggiungere all’organigramma della nostra azienda questa figura ed aspettare delucidazioni in merito!

Rimani aggiornato su tutte le novità dal mondo dei chatbot

E per i Chatbot?

Molto semplicemente, la GDPR per i chatbot è simile a quella applicata in ogni altro campo. È necessario fornire all’utente sufficienti informazioni riguardo ciò che sta accadendo ai suoi dati personali, ancor prima di raccoglierli.

10 Step da verificare: un esempio pratico

Ecco 10 step da intraprendere quando parliamo di Chatbot e GDPR. Per rendere la cosa più semplice e pratica, immaginiamoci un possibile scenario: il chatbot di Awhy è stato implementato per ricevere newsletter su facebook. Ogni utente che si iscrive riceverà novità direttamente su facebook messenger. Passiamo in rassegna ogni step per capire come renderlo compatibile con la nuova GDPR.

1. Verifica che il Chatbot costituisca un business.

Cosa molto importante, la GDPR non si applica a persone fisiche che stiano raccogliendo dati per scopi personali. In questo caso, il chatbot di Awhy costituisce chiaramente un business, ed è quindi soggetto alla GDPR.

2. Controlla e definisci il tipo di dati che stai trattando.

Nel caso del bot messenger, le informazioni che conserveremo sono quelle di chiunque parli con l’assistente. Potremmo immaginarci:

  • Facebook ID;
  • Nome e Cognome;
  • URL dell’immagine profilo;
  • Luogo del dispositivo;
  • Sesso.

3. Identifica i dati personali.

Nel caso che stiamo considerando, tutti i dati descritti sopra sono dati personali.

4. Hai ricevuto il permesso per trattare tali dati?

Potremmo desumere che è evidente che il chatbot debba conservare dei dati per poter contattare l’utente, ma per essere prudenti è sempre meglio esplicitare e specificare quali dati verranno conservati, e procedere alla loro raccolta solo dopo che l’utente ha dato il consenso.

5. Utilizza i dati personali esclusivamente per lo scopo pattuito.

Questo punto è auto-esplicativo. Nel caso del chatbot pensato per inviare le newsletter, i dati non potranno essere utilizzati per nessun altro motivo;

6. Ricordati della protezione dati by default.

Qua arriva il bello. Per mandare messaggi via facebook messenger, necessitiamo solo del Facebook ID e del nome utente. Tutti gli altri dati sono superflui ai fini pattuiti; secondo il principio della privacy by default, quindi, non siamo più autorizzati a mantenere tali dati nel database.

7. Fornisci sufficienti e precise informazioni riguardo l’utilizzo dei dati.

Le informazioni devono essere chiare e comprensibili, ed integrate nella privacy policy;

8. Dai agli utenti accesso ai propri dati.

Il chatbot dovrà implementare una sezione nella quale ogni utente potrà vedere i dati raccolti su di lui;

9. Permetti agli utenti di cancellare i propri dati.

Stessa cosa di cui sopra, ma per quanto riguarda la possibilità di eliminare i propri dati;

10. Allinea la privacy policy con la normativa.

Dovrebbe contenere almeno:

  • Quali informazioni sono raccolte?
  • Chi le raccoglie?
  • Perché vengono raccolte?
  • Per quanto verranno mantenute nei server?
  • Con chi saranno condivise?
  • Come è possibile eliminare le proprie info?

Per concludere, ricordatevi che la GDPR ha portato e porterà molti cambiamenti nel web, è un topic molto complesso che necessita di tempo ed energie per far sì che il proprio business sia adeguato e rispetti le linee guida della direttiva.

Vogliamo ribadire che questo articolo è volto a far conoscere gli aspetti più impervi della normativa ma non è assolutamente da considerare esaustivo e completo per essere adeguati con la nuova normativa.

Se ti è piaciuto l’articolo, seguici sul nostro blog e sulle nostre pagine Facebook, Twitter e LinkedIn!

A presto,
Emanuele

Post correlati