Alessio Del Vecchio su Regolamento Privacy Aziende Roma

0
443

Da Roma Alessio Del Vecchio ci invia questo interessante approfondimento sulla gestione dei dati nelle aziende italiane. Il GDPR – General Data Protection Regulation – disciplina le modalità di trattamento, protezione e cancellazione dei dati personali, anche nei flussi commerciali con i lavoratori ed i consumatori. Del resto, ci ricorda Alessio Del Vecchio, l’alta mole di dati ha creato il bisogno di regolamentare nel miglior modo possibile i settori a cui i cittadini erano diventati più sensibili, ovvero ai loro dati privati e garantire un controllo più approfondito per le aziende. La Commissione Europea ha realizzato questo regolamento per tutelare i dati personali dei cittadini dell’UE, anche se la versione finale è molto diversa da quella iniziale come confermano i numerosi contrasti con i regolamenti e le leggi nazionali che erano in atto prima delle nuove indicazioni del maggio 2018.

Il GDPR è entrato duramente su argomenti che finora non erano mai stati affrontati fino in fondo: come prima cosa c’è stata una vera e propria richiesta di una forma chiara per le normative e per il consenso, l’istituzione di un registro delle attività in modo da poter controllare in caso di inadempimenti (utile anche per elencare i destinatari), le finalità dell’elaborazione dei dati e la loro possibile cancellazione. In seguito è stata resa obbligatoria la notificazione di violazione dei dati sensibili al diretto interessato entro 72 ore. Quest’ultima però è soggetta a vari vincoli: il titolare infatti deve avvisare entro 72 ore dal momento della violazione dei dati personali (detto anche data breach) soprattutto se rappresenta un rischio per i diritti e la libertà delle persone fisiche.

L’impatto del GDPR è stato più ampio del previsto, d’altronde riguarda qualsiasi dato personale, che siano informazioni sui propri dipendenti o anche alla profilatura dei clienti per conto terzi. Persino i dati delle risorse umane riguardanti i propri colleghi o le info per le attività di marketing targettizzato, ovvero personalizzate per il cliente, sono soggetti alle nuove norme. Le normative europee hanno cambiato il mondo del web, infatti il numero di richieste da parte dei vari motori di ricerca come Google riguardanti il diritto alla cancellazione (o all’oblio) sono aumentate a dismisura e hanno portato al colosso ad effettuare vere e proprie modifiche. Il trattamento dei dati personali all’interno della grande distribuzione organizzata e servizi di compliance aziendale, ci ricorda Alessio Del Vecchio, vanno affrontati con serietà. innanzitutto, come nel caso della multa spagnola del 2014 ricevuta dall’azienda statunitense, Google non può far altro che deindicizzare un sito poiché non può togliere le informazioni riportate su siti di terzi, ma deve a sua volta avvisare il titolare di quella pagina o sito alla rimozione dei contenuti sensibili. Per poter utilizzare il diritto all’oblio basta semplicemente cercare notizie riguardanti il proprio nome o le proprie attività sui motori di ricerca (fenomeno chiamato “egosurfing”), ed è consigliato l’utilizzo di qualche motore in modalità anonima. Una volta trovate le notizie potete consultarle liberamente e in caso di una violazione potrete richiedere al motore di ricerca di eliminarle, ma attenzione: si ritengono dati sensibili anche quelli irrilevanti, falsi o che non corrispondono alla realtà attuale, o addirittura se sono esagerate. In questi casi potrete tranquillamente richiedere la rimozione dei risultati di ricerca ai sensi delle normative europee sulla protezione dei dati. La problematica però avviene sulla deindicizzazione dei link Google, infatti l’azienda statunitense ritiene che l’accessibilità dei dati sensibili debbano essere eliminati solo dal motore di ricerca del territorio dell’Unione Europea, mentre le Autorità di controllo ritengono che la rimozione dei link debba inglobare tutto il mondo. La situazione è complicata e anche il Garante italiano è intervenuto in prima persona, facendo una richiesta specifica al colosso californiano dopo un sollecitamento di un cittadino italiano residente all’esterno di rendere inaccessibili anche i siti sul territorio americano.

D’ora in avanti il titolare del trattamento dei dati dovrà comunicare immediatamente possibili violazioni al Garante, in modo da rispondere efficacemente ad un tentativo di data breach, visto che si necessita di una maggiore cooperazione a livello europeo. Le aziende, in particolare in Italia, hanno dovuto redigere dei registri di trattamenti di dati personali, poiché all’epoca non avevano capito l’importanza e il valore di quelle informazioni, oltre ai possibili danni economici previsti in caso di qualche violazione. In caso di data breach il titolare dovrà informare gli interessati in maniera facile e veloce di come limitare i danni, anche se c’è la possibilità che il responsabile non informi gli interessati se riterrà che la violazione in atto non comporta alcun rischio pericoloso per i diritti o se avrà già utilizzato le misure di sicurezza necessarie. L’Autorità Garante però avrà sempre l’ultima parola in merito e potrà imporre al titolare del trattamento di informare i vari individui, basandosi su delle valutazioni dei rischi correlati. Se fate richiesta per cancellare notizie da Google, da adesso in poi le cose saranno leggermente più efficienti, e per venire incontro alle richieste della propria utenza, il colosso statunitense ha messo a disposizione un form online con cui fare domanda per eliminare determinati contenuti: basterà semplicemente essere in possesso di un documento d’identità valido, una motivazione specifica, l’elenco dei dati sensibili trafugati e i link. L’azienda, tramite le pressioni effettuate dalla Commissione UE, deve rispondere in “breve tempo” a tutte le richieste, in modo da agire immediatamente.