Concorsi a premi online: come prepararsi al nuovo regolamento UE sulla Privacy.
Quando si crea un concorso a premi online si entra in contatto con numerosi dati degli utenti e per questo motivo è prevista una particolare regolamentazione relativa al loro trattamento.
Cosa cambierà con l’introduzione del nuovo GDPR? Il nuovo regolamento UE sulla Privacy, si pone come obiettivo quello di aggiornare i principi in materia di tutela dati personali, prevedendo una normativa ugualmente applicabile in tutti gli Stati membri dell’Unione Europea.
Il nuovo GDPR
GDPR è l’acronimo di General Data Protection Regulation ed è la nuova legge quadro in materia Privacy.
Alcune cose molto importanti da sapere:
• Entrerà ufficialmente in vigore il 25 maggio 2018;
• È un regolamento, ovvero una legge unica e direttamente applicabile in tutti gli Stati membri UE;
• Sostituisce il D.Lgs. 196/2003 (il cosiddetto Codice Privacy).
Il GDPR mette ordine nel panorama normativo privacy e trasforma in legge molte di quelle che prima erano best practice.
Le novità del nuovo regolamento UE sulla Privacy
Tra le novità più importanti troviamo sicuramente nuovi diritti per gli utenti come portabilità e cancellazione, il rafforzamento dei requisiti per l’ottenimento del consenso, l’introduzione del Data protection impact assessment, della figura del DPO (Data protection Officer) e del registro del trattamento e, infine, sono state introdotte delle regole specifiche in caso di data breach.
I nuovi diritti per gli utenti e delle nuove modalità di consenso:
Gli utenti possono ora richiedere che i loro dati in possesso del titolare vengano cancellati, o che siano loro consegnati per essere trasferiti ad altro titolare.
Inoltre, il testo chiarisce che il consenso dev’essere fornito in maniera libera, specifica, informata e inequivocabile e che il titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha acconsentito. La necessità di dimostrare l’ottenimento del consenso è dunque rafforzata, comportando che non sarà sufficiente salvare l’IP, ma bisognerà:
• Conservare la versione del form che l’interessato ha sottoscritto;
• Conservare l’intera chiamata inviata al server con il contenuto del form stesso;
• Certificare queste informazioni con marca temporale.
Il Data protection impact assessment
«Il Data Protection Impact Assessment (o DPIA) è una relazione da redigere in forma scritta e viene descritto dalla normativa come segue:
Per potenziare il rispetto del presente regolamento qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere responsabile dello svolgimento di una valutazione d’impatto sulla protezione dei dati per determinare, in particolare, l’origine, la natura, la particolarità e la gravità di tale rischio. L’esito della valutazione dovrebbe essere preso in considerazione nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il presente regolamento. Laddove la valutazione d’impatto sulla protezione dei dati indichi che i trattamenti presentano un rischio elevato che il titolare del trattamento non può attenuare mediante misure opportune in termini di tecnologia disponibile e costi di attuazione, prima del trattamento si dovrebbe consultare l’autorità di controllo.
Da notare che, con l’introduzione del nuovo GDPR, la procedura della notificazione preventiva al Garante viene abolita».
Il Data Protection Officer: quali saranno i suoi compiti?
«Il DPO, o Data Protection Officer, o Responsabile della protezione dei dati, è una nuova figura prevista dalla normativa e si può descrivere come una persona fisica, gruppo di persone o persona giuridica che costituisce il punto di contatto privilegiato per la gestione delle problematiche legate alla protezione dei dati all’interno di un’organizzazione.
Non è una figura certificata, né esiste alcun albo. Secondo il Regolamento, la sua nomina è obbligatoria quando il trattamento è effettuato da autorità o organismo pubblico, quando le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala e, infine, quando le attività principali del titolare o del responsabile consistono nel trattamento di dati sensibili o giudiziari».
Il registro del trattamento.
Sarà obbkigatorio solo le aziende con oltre i 250 dipendenti, le quali devono redigere e tenere aggiornato un registro contenente:
• Quali dati vengono trattati;
• Le finalità del trattamento;
• Chi accede ai dati (all’interno e all’esterno);
• Se c’è trasferimento all’estero;
• Termini di cancellazione dei dati (data retention);
• Misure di sicurezza adottate.
Le sanzioni
Le sanzioni crescono in modo significativo, potendo raggiungere il maggior valore fra 20 milioni di euro ed il 4% del fatturato globale.