Quali sono le differenze tra il GDPR e la normativa privacy precedente?
Con l’entrata in vigore del Regolamento UE 2016/679 (meglio conosciuto come GDPR) e successivamente del Decreto legislativo 10 agosto 2018, n. 101 che adegua il Codice in materia di protezione dei dati personali (Decreto legislativo 30 giugno 2003, n. 196) alle disposizioni del Regolamento (UE) 2016/679, le aziende hanno dovuto inevitabilmente modificare in modo sostanziale la gestione della privacy, prima regolata dal c.d. “Codice Privacy” (D.Lgs. 196/2003), ed adeguarsi alla nuova normativa.
Non sorprende quindi che:
- Molte attività stiano applicando erroneamente il GDPR a causa dell’approccio ereditato dall’applicazione della vecchia normativa
- Le aziende italiane siano le più sanzionate d’Europa a causa di un’errata applicazione del GDPR
Ecco le principali differenze tra Codice Privacy e GDPR che rendono evidente la necessità per le aziende di cambiare metodo.
Nuovi principi alla base del GDPR per la gestione della privacy
Alla base del differente approccio richiesto alle aziende per affrontare l’adeguamento e la gestione della privacy vi sono una serie di principi. Ecco quali.
Principio di Privacy by Design e by Default e Principio di accountability
| Principio | Codice Privacy D. Lgs. 196/2003 | GDPR, Regolamento Europeo per la Protezione dei Dati personali (Reg. UE 2016/679) |
| Principio di Privacy by Design e by Default Protezione dei dati – fin dalla progettazione – per impostazione predefinita | La privacy era intesa come elemento finale delle attività di trattamento, in quanto gli eventuali vizi nella raccolta dei dati potevano essere “sanati” anche dopo che i trattamenti erano già stati effettuati | Con il GDPR i trattamenti devono essere progettati fin da subito nel rispetto delle regole fissate dal legislatore, prevedendo già in fase di ideazione che siano adoperati gli strumenti e le impostazioni corrette per la tutela dei dati personali. |
| Principio di accountability (parte 1) Responsabilizzazione del titolare per la sicurezza dei dati | Il titolare doveva assicurarsi di rispettare le misure di sicurezza minime indicate dalla normativa. | Il titolare di un trattamento non può più limitarsi a eseguire un elenco di misure in precedenza imposte dalla norma. Ora è il responsabile della sicurezza dei dati che tratta, quindi è responsabile anche delle misure operative e tecniche che, in base alle caratteristiche e alle risorse dell’azienda, riterrà opportune, efficaci ed adeguate per salvaguardare i dati che tratta. Aumentando il raggio di manovra della azienda, aumenta anche il rischio di commettere errori di valutazione. |
| Principio di accountability (parte 2) Responsabilità verificabile | Con la normativa precedente, non vi erano particolari obblighi circa la tenuta della documentazione comprovante il regolare espletamento dei trattamenti dati. | Ora è obbligatorio documentare tutti i trattamenti effettuati, conservare la documentazione dettagliata anche in merito ad attività passate, responsabili ecc. Sono quindi previsti documenti e la registrazione di alcune informazioni quali, ad esempio, il registro dei trattamenti, richieste da parte degli interessati, gestione data breach. Dati e documenti inerenti alla gestione della privacy devono essere disponibili e facili da consultare in caso di controllo delle autorità. |
Approccio basato sul rischio e Gestione della privacy come processo continuo e collaborativo
| Principio | Codice Privacy D. Lgs. 196/2003 | GDPR, Regolamento Europeo per la Protezione dei Dati personali (Reg. UE 2016/679) |
| Approccio basato sul rischio | La norma elencava le misure minime di sicurezza che un’azienda doveva applicare. | Poiché il titolare ha il compito di determinare le misure considerate “adeguate”, queste devono essere individuate a seguito di un’analisi dei rischi, di una valutazione d’impatto e di una valutazione delle misure di sicurezza. Tutto, per il rispetto del principio di accountability, documentato. |
| Gestione privacy come processo continuo | La normativa precedente riduceva la gestione della privacy a una mera attività burocratica la quale, svolta una volta, poteva ritenersi conclusa. | Il GDPR concepisce l’attività di gestione della privacy come un processo continuo e in continua evoluzione. Infatti la documentazione necessaria per l’applicazione del GDPR deve essere aggiornata per ogni novità inerente la privacy, es. nuovi trattamenti, nuovi dipendenti, cassazione di un rapporto di lavoro, nuove richieste da parte degli interessati… |
| Gestione privacy come processo collaborativo | Prima la gestione della Privacy poteva essere a carico di un unico soggetto senza che questi coinvolgesse altre figure es. i responsabili delle diverse funzioni aziendali. | Ora il GDPR richiede che alla gestione dei diversi adempimenti partecipino tutte le funzioni aziendali direttamente coinvolte in un trattamento di dati (es. HR, IT, Marketing, Legal, ecc.) e che venga quindi applicato il principio di Collaborazione. |
Altre differenze sostanziali tra GDPR e normativa privacy precedente
Oltre a questi numerosi principi, che cambiano notevolmente la metodologia con cui gestire l’adeguamento alla normativa e il suo aggiornamento, il GDPR ha apportato numerose altre novità, tra cui:
- Obbligo di tenere e aggiornare nuovi documenti e registri es. Registro dei trattamenti, Gestione Data Breach, Richieste degli interessati…
- Regole più chiare sui requisiti che devono rispettare informativa e consenso
- Ampliata la categoria dei diritti che spettano all’interessato
- Obbligo di formazione per gli addetti per la corretta implementazione dei trattamenti
- Valutazione dei rischi, misure di sicurezza e valutazione d’impatto
- Regole più rigorose per la selezione e nomina di un responsabile del trattamento
- Vengono stabiliti dei criteri rigorosi per il trasferimento dei diritti al di fuori dell’UE
- Applicazione extraterritoriale della norma: il GDPR si applica anche ai trattamenti di dati personali non svolti nell’UE, purché relativi a beni e servizi offerti ai cittadini UE o tali da permetterne il monitoraggio dei comportamenti
- Il consenso è valido solo se è libero, informato, espresso, inequivocabile e specifico per ogni singolo trattamento.
In aggiunta a tutte queste numerose differenze tra GDPR e normativa privacy precedente, vi è stato un’inasprimento delle multe. In caso di violazioni ora le sanzioni sono più elevate e variano a seconda della gravità delle disposizioni violate.
La multe per le organizzazioni possono ammontare fino a 20.000.000 di euro o fino al 4% del fatturato annuo globale.
Strumenti per facilitare l’adeguamento della tua azienda al GDPR
Come evidenziato dal testo precedente, adeguare la tua azienda al GDPR non richiede semplicemente la compilazione in un certo numero di documenti. Richiede un nuovo approccio e nuovi strumenti.
Questo perché provare a gestire le attività richieste dal GDPR tramite i classici fogli Excel, faldoni cartacei ecc. nel rispetto dei nuovi principi (in primis: il principio di accountability tradotto come “responsabilità verificata”) risulta altamente complesso, se non impossibile.
Per questo, in qualità di esperti nelle attività di adeguamento al GDPR, consigliamo a tutte le aziende di dotarsi di Atena, un software web unico nel suo genere per l’efficienza, la praticità e la semplicità con cui ti permetterà di gestire internamente l’adeguamento continuo al GDPR.
Vuoi avere maggiori informazioni sul Software Atena per il GDPR?
Visitare il sito ufficiale di Atena o chiedi ai nostri esperti: ti sapranno rispondere con la competenza e la professionalità che ci contraddistinguono da sempre!
…
…