Il GDPR – General Data Protection Regulation – è un Regolamento Europeo in materia di Trattamento dei Dati Personali che modifica in molti casi le varie normative nazionali. Ad esempio, in Italia è stata abolita la parte generale del vecchio Codice della Privacy.
Il GDPR ha l’intento di uniformare tutte le normative dei Paesi europei, garantendo in particolare:
- Diritto a essere in pieno controllo delle informazioni che ci riguardano;
- Diritto all’oblio, ossia la possibilità di rimuovere tutte le informazioni che ci riguardano;
- Portabilità dei dati, ovvero la possibilità di trasferirli da una piattaforma all’altra senza tuttavia vincolarli a un account specifico;
- Obbligo di notifica in caso di Data Breach: se le aziende subiscono fughe di informazioni devono notificarlo entro 72 ore.
Quali sono gli obblighi principali introdotti dal GDPR?
Uno degli aspetti principali dell’introduzione del GDPR è quello della richiesta di consenso in forma chiara. L’articolo 7 del Decreto Legislativo n. 101 del 10 agosto 2018, in attuazione del Regolamento UE/2016/679, prevede che il Titolare del Trattamento dei Dati Personali deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso.
La richiesta di consenso deve essere presentata in modo chiaramente distinguibile, in forma comprensibile e facilmente accessibile. L’interessato può comunque revocare il consenso in qualsiasi momento, non pregiudicando però la liceità del trattamento (consenso precedentemente accordato).
L’articolo 30 del GDPR obbliga il Titolare del Trattamento – o un responsabile designato – a tenere un Registro delle Attività di Trattamento svolte sotto la propria responsabilità, che deve contenere le seguenti informazioni:
- Nome e i dati di contatto del Titolare del Trattamento e, ove applicabile, del contitolare, del rappresentante e del responsabile della protezione dei dati;
- Finalità del trattamento;
- Descrizione delle categorie di interessati e dei dati personali;
- Categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
- Eventuali trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale.
L’articolo 37 introduce l’obbligo di designare un Responsabile della Protezione dei Dati. Vediamo quali caratteristiche deve avere questa figura.
Il Responsabile della Protezione dei dati – DPO
Il DPO – Data Protection Officer – è un consulente qualificato che affianca il Titolare del Trattamento dei Dati Personali garantendo il rispetto della normativa vigente. Generalmente questa figura viene selezionata tra i membri del personale dell’azienda, oppure si incarica un libero professionista con cui si stipula un contratto di servizi.
Il DPO deve essere in possesso dei seguenti requisiti per poter operare: innanzitutto deve avere un’idonea conoscenza della normativa e della prassi in materia di gestione dei dati personali e deve svolgere le sue funzioni in assenza di conflitto di interessi.
GDPR nelle Agenzie Assicurative: cosa cambia?
All’interno di un’agenzia assicurativa è particolarmente importante garantire il corretto Trattamento dei Dati Personali, non tanto per non rischiare una sanzione ma perché ne vale l’immagine dell’agenzia stessa.
Un’agenzia assicurativa ha la sua ragion d’essere nella fiducia riposta dall’utente: la corretta gestione dei dati personali, quindi, è un tema particolarmente spinoso. Ciò è vero per le grandi compagnie assicurative come per le piccole agenzie, in quanto la loro attività si basa da sempre sulla raccolta di dati sensibili.
A tale proposito, il GDPR introduce il concetto di “accountability”, ossia una responsabilizzazione dello stesso che deve essere in grado di comprovare il rispetto dei principi fissati dall’articolo 5 del GDPR, ossia: liceità, correttezza, trasparenza, limitazione nelle finalità del trattamento, minimizzazione ed esattezza dei dati trattati, integrità e riservatezza, limitazione della conservazione dei dati stessi.
Il superamento dell’Allegato B del vecchio Codice della Privacy
L’introduzione del GDPR consente il superamento del famoso Allegato B, il Disciplinare Tecnico in materia di Misure minime di Sicurezza (D.Lgs. 196/03). Fino a quel momento aveva regolato la delicata sfera della Privacy.
Il GDPR riscrive quelle misure minime di sicurezza che erano alla base del sistema di protezione dei dati personali. Questo nuovo regolamento europeo ha un approccio diverso rispetto al vecchio Codice della Privacy, che elencava delle misure dettagliate e uguali per tutti.
Introduce, al contrario, un ampio margine di libertà di scelta in funzione della realtà produttiva di riferimento. Ciò avviene grazie a un’attenta analisi del rischio e all’attenzione verso i costi da supportare.
In sostanza, nella scelta dell’approccio alla gestione del Trattamento dei Dati Personali entra in gioco l’analisi della tipologia di tali dati che verranno trattati. Si analizzano inoltre i rischi collegati in caso di attacco alle loro informazioni.
Un altro punto da non sottovalutare è che l’insieme delle azioni necessarie per la protezione dei dati debba essere commisurata alla capacità della singola attività di investire in tal senso. Non si possono quindi minare l’economia e i bilanci di un’azienda, ma tutto deve essere commisurato alla realtà in cui si opera.
