Dopo un’attesa lunga vent’anni, lo scorso 14 aprile 2016 è stato approvato il nuovo Regolamento Europeo sulla Privacy (GDPR), finalizzato a tutelare in maniera ancora più incisiva i dati personali, soprattutto in caso di trasferimento all’estero.
Il significato e le implicazioni pratiche di tale normativa sono innumerevoli, dal momento che entro il 2018 tutti coloro che realizzano software e maneggiano dati sensibili dovranno adeguarsi al Regolamento, garantendo l’efficacia e l’efficienza delle relative misure di sicurezza. Il rischio è di incorrere in sanzioni anche molto elevate.
Privacy by Default e Privacy by Design: le differenze nel nuovo (GDPR)
La nuova normativa riprende alcuni principi e concetti già fatti propri dal Codice in materia di tutela dei dati personali, introducendo una distinzione fondamentale tra Privacy by Default e Privacy by Design: nel primo caso, il GDPR allude alla necessità di tutelare la vita privata dei cittadini di default, ovvero come impostazione predefinita dell’organizzazione aziendale, nel secondo caso, stabilisce che la protezione dei dati deve avvenire fin dal disegno o progettazione di un processo aziendale.
Se sei un libero professionista (ad esempio, un medico) o un ambulatorio privato (ad esempio, un clinica che effettua prelievi) e offri servizi online ai tuoi pazienti, ti sarà sicuramente capitato di creare un’area login sul tuo sito, di raccogliere online i dati dei tuoi utenti, di consentire il download dei referti o ancora di dover successivamente integrare questi dati con le informazioni raccolte in sede di visita individuale.
Adeguarsi al principio di Privacy by default significa che tutte le volte in cui un soggetto cede i propri dati ad un terzo – in questo caso, a te – deve sempre esistere a monte una procedura interna che preveda e disciplini le modalità di acquisizione, trattamento, protezione e modalità di diffusione. Insomma, il titolare del trattamento deve predisporre misure tecniche predefinite in grado di garantire il rispetto della normativa sulla Privacy: norme molte severe puniscono il trattamento illecito di dati personali.
Se hai un sito web, ti sarà sicuramente capitato di fornire agli utenti la possibilità di registrarsi per accedere ai servizi telematici, di prenotare una visita medica online o ancora di iscriversi alla newsletter per rimanere sempre aggiornati. In tutti questi casi, la raccolta dei dati – e il loro trattamento – non può essere casuale e arbitrario. Una disciplina precisa deve regolare le modalità di raccolta dei dati, i soggetti autorizzati ad accedere al database, i rischi per la sicurezza e le relativi misure di protezione.
Il principio di necessità nel GDPR
Tale trattamento peraltro deve ispirarsi, secondo il regolamento europeo, al principio di minimizzazione, il quale di fatto riprende il principio di necessità già stabilito dall’art. 3 del codice della Privacy. Questo significa che devono essere trattati e raccolti solo i dati necessari alle finalità perseguite.
Ad esempio, se hai bisogno di raccogliere i contatti di nuovi potenziali pazienti per avvisarli della prossima giornata della prevenzione, non puoi richiedere che vengano forniti anche il numero di telefono o la data di nascita: poiché entrambi sono dati non necessari al tuo scopo. Ti basta ottenere la loro e-mail. O ancora, se i referti dei tuoi pazienti sono disponibili online, il sistema dovrà garantire la visualizzazione degli stessi esclusivamente da parte dell’interessato e del medico curante.
Come adeguarsi alla nuova normativa
Quando fai uso di software per il tuo lavoro, informati su come adottare tutte le misure necessarie affinché il trattamento dei dati in possesso avvenga nel rispetto della legge. Affidati alla consulenza di esperti del settore: in questo modo avrai la certezza di avere adottato politiche sicure, conformi agli obblighi normativi che ti permettano di evitare sanzioni civili e penali.
Unolegal non solo fornisce consulenza privacy personalizzata alle aziende, ma offre anche percorsi di formazione ai Titolari e Responsabili del trattamento nonché a tutti gli operatori, interni ed esterni, in qualunque modo coinvolti nel trattamento o protezione dei dati, affinché possano acquisire le necessarie competenze per lavorare in autonomia. Scaricando il Decalogo Unolegal, potrai subito verificare se il tuo sito, e la tua azienda, ha adottato tutte le misure necessarie per conformarsi alla disciplina sulla Privacy by Default e by Design del nuovo GDPR.
Per non incorrere in sanzioni di importo anche considerevole, il Regolamento Europeo in materia di Privacy (GDPR) da tempo fino al 25 maggio 2018 per adeguarsi alle nuove disposizioni.