Il Regolamento Generale sulla Protezione dei Dati (GDPR) è entrato in vigore il 25 maggio 2018 in tutti gli Stati membri dell’Unione Europea ed è costituito da norme sulla protezione dei dati personali che puntano a dare ai cittadini europei un controllo completo sui propri dati.
Le società che raccolgono o trattano dati personali devono essere chiari circa il trattamento e le condizioni che ne regolano la raccolta, avvalendosi di un linguaggio semplice e facilmente comprensibile a tutti i cittadini, senza lasciare possibilità di essere equivocati.
Inoltre, le aziende devono garantire agli utenti il diritto di sapere come vengono elaborati i propri dati e, qualora richiesto, devono fornire i suddetti dati all’utente interessato in modo gratuito e in formato elettronico.
IL DIRITTO ALL’OBLIO
Gli utenti hanno di fatto il diritto di richiedere la cancellazione dei propri dati personali. Il diritto si applica quando l’utente non vuole mantenere il consenso al trattamento dei suoi dati e non ci sono ragioni legittime per conservarli.
LE SANZIONI NEL GDPR
Il GDPR prevede sanzioni significative per le aziende che non rispettano il regolamento, che possono ammontare fino al 4% del fatturato annuale fino a 20 milioni di euro. Un’azienda è passibile di sanzione se, per esempio, non ha policy adeguate per il consenso al trattamento dei dati personali.
Nelle ultime settimane inoltre è venuto fuori che Facebook ha salvato per errore e senza aver chiesto il permesso la rubrica di indirizzi email di 1,5 milioni di persone che si sono iscritte al social e a cui è stata chiesta la password del loro indirizzo di posta elettronica per conferma. La richiesta della password è di per sé già discutibile, e Facebook l’ha sospesa a inizio mese. Poi ha scoperto e ha dovuto ammettere il più grave problema dell’acquisizione illecita dei dati, che potrebbero ammontare a svariate centinaia di milioni di indirizzi. «I contatti non sono stati condivisi con nessuno e li stiamo cancellando», ha fatto sapere il colosso, promettendo di avvisare «le persone i cui contatti sono stati importati». A quanto risulta, fino a maggio 2016 gli utenti potevano decidere se caricare o meno la loro rubrica di mail, poi l’azione è diventata automatica senza più alcuna richiesta. Aprivi Facebook, ti iscrivevi, digitavi indirizzo email e relativa password e il social accedeva all’intera rubrica senza darti la possibilità di scegliere.
L’acquisizione e l’uso dei contatti di posta elettronica dell’utente (non prevista dall’informativa e quindi avvenuta in modo occulto da maggio 2016) rappresentano una potenziale violazione dei principi del Gdpr.
Inoltre sul tavolo dopo gli ultimi avvenimenti sono stati messi alcuni progetti normativi, ancora embrionali ma molto rilevanti, uno di questi dovrebbe essere la Commissione Libertà civili, giustizia e affari interni del Parlamento europeo vuole imporre alle piattaforme di rimuovere i contenuti «legati al terrorismo» entro un’ora dalla segnalazione delle autorità e dare la responsabilità ai capi dei social per i contenuti terroristici e hanno un’ora di tempo per eliminarli.
RESPONSABILE DELLA PROTEZIONE DEI DATI (RPD)
Deve sempre essere valutato se l’azienda tratta dati personali e in che misura. Ricordiamo ad esempio che alcune prescrizioni non si applicano a imprese con meno di 250 dipendenti, se non in caso di eccezioni ben specificate nel Regolamento; Allo stesso modo, una piccola azienda con pochi dipendenti che tuttavia gestisce grosse liste di utenti (clienti e-commerce, iscritti a mailing list, ecc.) sarebbe tenuto a verificare la propria conformità.