Se l'importanza della protezione dei dati personali è sempre stata la priorità per aziende e imprese, dal 25 maggio 2018 è diventata una vera e propria ossessione.
Da tale data, infatti, è entrato in vigore in tutti gli Stati membri dell'Unione Europea il nuovo GDPR, acronimo utilizzato per indicare il General Data Protection Regulation, ovvero, il Regolamento Generale sulla Protezione dei Dati.
Risultato di uno studio lungo e approfondito, spesso sin troppo problematico, il regolamento ha come scopo primario quello di garantire a tutti i cittadini membri dell'Unione un controllo totale e completo sui propri dati personali e sensibili e aiutare le imprese e le aziende nella tutela e nella protezione di questi dati che vengono loro affidati per i più svariati motivi.
Certamente, adeguarsi alle nuove condizioni imposte dal regolamento non è un'impresa facilissima ma può rappresentare un ottimo punto di partenza aumentando il business delle aziende.
Ma quindi, come nasce concretamente il GDPR e cosa è cambiato dal suo arrivo?
La risposta non può essere univoca, data la diversità di obiettivi che il regolamento mira a realizzare.
Tuttavia, in linea generale, si può ben affermare che esso nasce per offrire una maggiore certezza giuridica concernente il traffico di dati personali che, giorno dopo giorno, travalicano i confini dell'Unione Europea per essere trattati e utilizzati nel mondo intero.
Dato lo sviluppo sempre più diffuso di piccole e medie imprese si è sentita forte l'esigenza di adeguare di tutelare i cittadini e i lavoratori dall'uso indiscriminato dei propri dati sensibili, spesso sfruttati in modi non consoni e illeciti.
Quindi, il GDPR mira a introdurre delle disposizioni più chiare e precise in sede di consenso al trattamento dei propri dati personali, prevede dei limiti al trattamento dei propri dati e, in caso di un utilizzo indebito, minaccia anche specifiche sanzioni che, potenzialmente, possono ammontare fino al 4% del fatturato annuo globale o toccare la cifra record di 20 milioni di euro.
Quali sono gli obblighi per le aziende?
Per tutelare efficacemente tutti i diritti e le libertà fondamentali delle persone fisiche, il regolamento prescrive una serie di requisiti rigorosi cui le aziende e le imprese devono attenersi durante le complesse procedure di gestione dei dati, riservando il posto d'onore alla trasparenza, alla documentazione puntuale e al consenso espresso dall'utente.
Tra i primi obblighi imposti all'azienda spicca una novità assoluta: ogni organizzazione, infatti, sia pubblica sia privata, deve tenere un registro in cui sono riportate tutte le attività concernenti la diffusione e il traffico dei dati personali.
Quale titolare del trattamento dei dati personali ogni azienda ha l'obbligo di monitorare il traffico in entrata e in uscita di tutti i dati, ovverosia quelli gestiti all'interno di essa ma anche quelli che provengono da terze parti, indicate quali responsabili del trattamento.
Ma, all'interno di un'azienda, chi può essere identificato come responsabile del trattamento dei dati personali?
E qual è il compito preciso cui è chiamato?
Il responsabile del trattamento dei dati – o, i responsabili, siccome c’è da dire che tale compito è assegnabile anche ad una pluralità di persone fisiche – può essere rintracciato nel fornitore di servizi di software ma, tale compito, può essere affidato anche a chi si occupa di fornire servizi da parte di terzi, quali incaricati di tracciare ed esaminare il profilo dei visitatori sul sito dell'organizzazione.
Ovviamente, la raccolta dei dati non può avvenire in modo indiscriminato.
Sia i titolari che i responsabili del trattamento dei dati devono poter dimostrare in qualsiasi momento il flusso dei dati elaborati, lo scopo precipuo della raccolta e, soprattutto, a quali Nazioni o a quali terze parti essi vengano inviati.
Ciò perché tutti i dati raccolti possono essere inviati a terze parti ma solo a patto che le aziende o le organizzazioni di destinazioni abbiano accettato il protocollo insito nel GDPR o all'interno di un sistema che offra protezioni adeguate da un traffico illecito e non protetto di informazioni e dati personali.
GDPR e dati personali: l'importanza del consenso
In quest'ottica, dunque, ben si comprende quale possa essere l'alto valore attribuito al consenso.
>Ogni consenso, infatti, deve essere considerato quale prova ultima che esso si è correttamente formato ed è stato validamente prestato e portato all'esterno.
Va da sé, ovviamente, che tutte le imprese, le aziende e le società che raccolgono o che, in qualsiasi modo, si trovano a dover trattare dati personali e sensibili, hanno l'obbligo preciso di spiegare agli utenti come verranno trattate queste informazioni e a quale scopo esse servono.
Di conseguenza, il responsabile del trattamento dei dati personali, per andare incontro alle esigenze di tutti gli utenti, deve redigere l'informativa sulla privacy e sul trattamento dei dati sensibili in un linguaggio chiaro, semplice e pulito, talmente preciso ed elementare che non possa dar adito a fraintendimenti o errori di sorta.
Tale obbligo, pertanto, non vige solo nella fase preparatoria, quella concernente la predisposizione di termini e condizioni ma anche in quella successiva, decisamente più importante, relativa al momento in cui l'utente presta il proprio consenso.
Come si può ben vedere, il GDPR ha completamente modificato e innovato la disciplina sottesa al trattamento dei dati personali.
A partire dal 25 maggio 2018, infatti, le aziende devono attenersi scrupolosamente a tutte le direttive imposte dal Regolamento, specificando a quali soggetti spetti il compito della raccolta dei dati e comunicando tempestivamente a chi è preposto alla funzione o all'Autorità Giudiziaria le eventuali trasgressioni in materia di consenso raccolto non in modo consono o se vi siano state ulteriori violazioni del protocollo.
D'ora in poi, quindi, le aziende per uniformarsi alle prescrizioni imposte dal Regolamento Generale sulla Protezione dei Dati non solo devono prepararsi meticolosamente ma devono rivedere necessariamente la propria politica di raccolta e diffusione dei dati personali degli utenti, onde evitare sanzioni, anche pesanti, dal punto di vista del fatturato.
Senza contare che multe decisamente severe possono essere erogate a quelle imprese e a quelle aziende che non solo non raccolgono il consenso in modo esplicito ma violano pesantemente i diritti degli utenti diffondendo o trasferendo i dati sensibili verso Paesi terzi o a organizzazioni internazionali che non si siano ancora adeguati ai dettami del GDPR.
Perché, dunque, minare il buon nome e da fiducia dei clienti nell'azienda per non ottemperare a un regolamento che, esaminato nella sua complessità, non può che facilitare la politica aziendale e i rapporti con i terzi?
LEGGI ANCHE: GDPR in sintesi
L'avvocato, il GDPR e LEGALDESK: come cambia il rapporto con i clienti
Considerati alla stregua di vere e proprie aziende, anche gli avvocati hanno l'obbligo di uniformarsi al GDPR, anche se con modalità parzialmente diverse da quelle fino ad ora indicate per le imprese.
Anzitutto, l'avvocato deve tenere ben presente quale sia l'andamento della sua struttura e le sue potenzialità e, tratte le somme, stilare una vera e propria privacy policy che gli consenta di intrattenere al meglio i rapporti con i clienti.
Se, infatti, i capisaldi del regolamento parlano di Riservatezza, Integrità e Disponibilità, l'avvocato deve essere in grado di assicurare a terzi di essere perfettamente in grado di raccogliere, usare, catalogare e conservare i dati sensibili nel miglior modo possibile, consentendo al cliente la privacy necessaria, la riservatezza in ordine alla pratiche seguite e la disponibilità dei dati in qualsiasi momento, anche in caso di cessazione del rapporto.
E, quindi, come impostare una privacy policy che si uniformi al GDPR?
L'avvocato deve classificare le tipologie dei dati sensibili che gli interessano e studiare il modo più opportuno per utilizzarli, conservarli e poi cancellarli, preparare la loro profilazione tramite cookies, l'eventuale diffusione verso gli altri Paesi, basti pensare semplicemente all'impiego di social network, la loro portabilità e trasferibilità, pratica necessaria laddove un collega ottenesse un nuovo mandato difensivo.
L'avvocato, inoltre, ha l'obbligo di individuare il responsabile del trattamento, può svolgere tale funzione da solo o avvalersi dell'opera di collaboratori purché ciò sia espressamente accettato dal cliente, la figura addetta alla privacy e, soprattutto, predisporre un apposito registro, cartaceo o elettronico, che in qualsiasi momento gli consenta di verificare i documenti sottoscritti dai clienti e il consenso prestato al trattamento di tutti i dati sensibili.
Spesso, però, gli avvocati sono talmente oberati di lavoro da non riuscire a star dietro a tutto l'ufficio.
Ed è qui che entra in gioco LEGALDESK, l’unico software gestionale che ti garantisce aggiornamenti costanti e un’assistenza d’elite.
Infatti, grazie alla sua interfaccia intuitiva e alla sua semplicità di funzionamento, LEGALDESK ti permette di sincronizzare l'agenda con il tuo smartphone e con il tablet, di gestire appuntamenti e scadenze direttamente dal cellulare, inviare email ovunque ti trovi e, soprattutto, potrai scaricare udienze e scadenze direttamente da Polisweb in pochi e semplici click.
Ma non solo.
Sfruttando la prova per 30 giorni, puoi districarti con facilità nell'insidioso mondo del Processo Civile Telematico, avrai l’opportunità di salvare file e documenti importanti grazie alla sincronizzazione con GoogleCalendar, OneDrive e Dropbox, inviare le notifiche in proprio, spedire raccomandate e gestire agevolmente tutte le schede anagrafiche dei clienti.
Un collaboratore irrinunciabile che ti permetterà di sveltire il tuo lavoro, consentendoti di dedicare tempo maggiore ai tuoi clienti e ai loro problemi, garantendogli così un servizio impeccabile.
