GDPR: cosa devi sapere e cosa stiamo facendo in Soisy, in 5 semplici punti

1. Innanzitutto: cos’è il GDPR e quando entra in vigore?

Il GDPR (General Data Protection Regulation) è il nuovo regolamento UE 2016/679 introdotto per migliorare significativamente la protezione dei dati personali dei cittadini dell’UE e aumentare gli obblighi di aziende e organizzazioni che raccolgono o trattano dati personali.

Il GDPR nasce da precise esigenze, come indicato dalla stessa Commissione UE, di certezza giuridica, armonizzazione e maggiore accessibilità e semplicità delle norme riguardanti la protezione delle persone fisiche relativamente al trattamento e alla libera circolazione dei dati personali.

Entrerà in vigore il 25 maggio 2018 e qui potete leggerne il testo completo: in estrema sintesi cambiano gli obblighi di legge in maniera molto più tutelante per i clienti rispetto a quanto previsto dalla vecchia Data Protection Directive (Direttiva 95/46/CE) e, in Italia, dal vecchio decreto legislativo 196/2003 (che implementava internamente la Direttiva).

2. Ma il GDPR si applica solo nei paesi membri dell’UE?

Il GDPR si applica anche alle imprese che hanno sede al di fuori dell’UE ma trattano o elaborano dati di cittadini dell’UE.

3. Come deve essere fatta la raccolta dei dati per essere GDPR compliant?

Con il GDPR, la raccolta dei dati online e offline dovrà rispettare le seguenti caratteristiche:

• l’utente deve esprimere il proprio consenso in maniera esplicita: l’opt-in diventa regola e saranno palesemente non conformi a GDPR tutte le privacy policy e i flag pre-compilati;
• l’informativa sul trattamento dei dati personali deve essere chiara, accessibile e trasparente: le pagine a matrioska infinite o i form di raccolta dati poco leggibili diventano non conformi alla normativa;
• i dati raccolti devono essere pertinenti, adeguati e limitati alle finalità per cui vengono raccolti e trattati: addio quindi alle diciture “e per ogni altra iniziativa…”.

4. Privacy by design e privacy by default introdotti dal GDPR: cosa significano e cosa implicano?

Con il nuovo regolamento GDPR il sistema di tutela dei dati personali pone l’utente al centro, obbligando aziende e organizzazioni a una tutela effettiva da un punto sostanziale e non solo formale: secondo il nuovo regolamento, quindi, non basta che la progettazione dei sistema sia conforme alla norma se poi l’utente non è effettivamente e concretamente tutelato.

Il GDPR impone al titolare del trattamento l’adozione di misure tecniche e organizzative adeguate per evitare trattamenti illeciti: l’articolo 25, in particolare, introduce i principi di privacy by design e privacy by default, che impongono alle aziende l’obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti per tutelare i dati personali delle persone coinvolte. Questo significa prevenire ex ante e non correggere a posteriori, e quindi valutare i rischi e le implicazioni della privacy sin dalla fase di progettazione.

Tra i principi ispiratori del GDPR vi è anche quello del privacy by default, secondo cui i dati personali vanno raccolti e trattati solo ed esclusivamente nella misura necessaria per le finalità espresse e per il periodo strettamente necessario a tali fini. Occorre, quindi, ispirarsi al principio della minimizzazione e progettare sistemi di raccolta e trattamento dei dati che garantiscano la non eccessività dei dati raccolti.

5. Cosa stiamo facendo in Soisy per adeguarci al GDPR?

Il nuovo regolamento GDPR presuppone un forte impegno per la protezione dei dati: la sua emanazione è stata l’occasione per assicurarci che il nostro trattamento dei dati fosse in linea con la nuova normativa, ma anche per migliorare i documenti che lo descrivono. Trovi qui sotto il risultato finale, con i link a tutti i documenti:

• privacy policy sito (per chiunque visiti il sito www.soisy.it e relative web app)
• cookie policy (per chiunque visiti il sito www.soisy.it)
• informativa privacy clienti (per richiedenti, investitori e partner)
• informativa SIC (per chi richiede un finanziamento)
• informativa candidati (per chi ci invia il proprio cv per lavorare in Soisy)

Inoltre, ci stiamo coordinando con i nostri fornitori e partner per verificare le loro pratiche di adeguamento al GDPR e stiamo concordando con loro accordi di elaborazione dei dati conformi al nuovo Regolamento.

A breve nomineremo anche un responsabile della protezione dei dati (DPO, Data Protection Officer) il cui compito sarà garantire e supervisionare che i vostri dati personali siano al sicuro.

E continueremo a condividere con voi le informazioni sui nostri progressi in tema di GDPR e aiuteremo anche i nostri fornitori e partner con cui intendiamo continuare a collaborare ad adeguarsi alla normativa.

Last but not least, la Commissione Europea ha stilato i tuoi diritti in materia di GDPR e qui sotto un’infografica che ne abbiamo tratto, per riassumere i tuoi diritti principali a colpo d’occhio e renderli ancora più chiari e immediati.

Se hai dubbi o domande su come esercitare i tuoi diritti sulla privacy in Soisy o semplicemente vuoi chiedere informazioni sul tema alla luce delle novità implementate dal GDPR, scrivici una mail a privacy@soisy.it: saremo molto felici di parlarne.

Credits immagini: copertina, sveglia