Un’agenzia investigativa per svolgere il proprio lavoro deve attenersi alle norma che regolano la Privacy e il trattamento dei dati personali. Attraverso l’avanzamento delle nuove tecnologie e le abitudini la vecchia normativa che risale al 1995 viene a mancare su molti aspetti. Il nuovo regolamento stilato dall’Unione Europea avrà subito effetto, senza avere riferimento alle leggi nazionali. Lo stesso avrà effetto su tutti coloro che trattano dati riguardanti cittadini che risiedono nei paesi europei, indipendentemente se si tratta di agenzie con sene in Europa o fuori dal territorio.
In una breve lista diamo atto di ciò che si intravede nel nuovo regolamento :
- La normativa introduce il concetto di “Accountability”, ovvero attribuzione di responsabilità a tutti i soggetti coinvolti nel trattamento dei dati di privacy. Ogni soggetto coinvolto nella gestione dei dati sarà tenuto a documentare tutti i passaggi eseguiti, ovvero ogni singola manipolazione di un dato di privacy deve poter essere attribuita ad un signolo soggetto aziendale in maniera trasparente.
- L’informativa sulla privacy dovrà essere semplice, chiara e immediata, senza riferimenti normativi, per agevolare un comportamento consapevole da parte dell’utente. L’espressione del consenso non dovrà più essere un’azione formale (una firma autografa o la spunta di una casella), ma potrà essere semplicemente un’azione di consapevolezza, purché la stessa sia inequivocabile, come ad esempio continuare ad usufruire di un servizio online.
- Il nuovo regolamento renderà più semplice l’accesso ai dati dopo l’atto di sottoscrizione, per eventuali modifiche, integrazioni o cancellazioni: il titolare del trattamento dovrà consentire all’utente di poter accedere gratuitamente e in modo semplice alle informazioni in qualsiasi momento.
- Viene introdotto il Privacy Impact Assessment, un documento che dovrà indicare nello specifico quali dati vengono trattati da una determinata azienda e in che modo, quali sono possibili rischi associati al trattamento e quali le possibili strategie da implementare per minimizzare tali rischi.
- Scompare l’obbligo della notificazione al Garante per la Privacy. Diverrà invece obbligatorio documentare adeguatamente tipologie, finalità e metodologie del trattamento attraverso un “registro dei trattamenti”, che dovrà indicare quali soggetti interni all’azienda sono autorizzati a trattare le informazioni personali degli utenti.
- Sarà introdotta la figura del Data Privacy Officer, un responsabile interno all’azienda a cui sarà affidato il compito di verificare la corretta implementazione delle procedure dal Privacy Impact Assessment, che egli stesso dovrà predisporre. Il Data Privacy Officersarà la figura di riferimento che si interfaccerà con il Garante della Privacy in caso di necessità.
- Sarà introdotto il concetto di Privacy by Design: Le procedure per il trattamento dei dati personali andranno concepite e formalizzate prima di iniziare l’attività di raccolta. Il trattamento non dovrà più essere concepito come un rimedio da applicare “alla fine” della relazione con l’utente, ma come un processo aziendale integrato di cui la relazione con l’utente è parte effettiva.
- La violazione dei dati personali in possesso ad un’azienda, come la perdita, la divulgazione accidentale o la modifica non autorizzata, dovrà essere notificata entro 72 dall’evento. La procedura di notifica, che prende il nome di Data Breach Notification, è regolamentata da norme precise e prevede che siano informati sia il Garante che i soggetti titolari dei dati violati.
- Il nuovo regolamento introduce il “diritto all’oblio” e il “diritto alla portabilità” dei dati personali. Il titolare dei dati avrà diritto di richiedere in qualsiasi momento la cancellazione totale dei dati oppure il loro trasferimento, in modo automatico e a carico del fornitore, ad un’altra azienda.
Un cambiamento organizzativo e culturale che sarà unico per tutti i paesi membri, favorendo un approccio valoriale alla questione della Privacy.