GDPR: cosa fare per mettersi in regola?

GDPR: cosa fare per mettersi in regola?

La nuova normativa europea sulla Privacy (GDPR)

Che cos’è il GDPR?

Il GDPR (Regolamento Generale Protezione Dati Personali) è un Regolamento con il quale la Commissione Europea intende tutelare e rendere più omogenea la protezione dei dati personali dei cittadini dell’Unione Europea (e dei residenti) verso il trasferimento in altri Paesi del mondo.

Entrata in vigore

Dal 25 Maggio 2018 entra in vigore anche in Italia il nuovo Regolamento Europeo sulla protezione dei dati personali n. 2016/679.

Si tratta quindi di una evoluzione dell’attuale disciplina sulla Privacy, già in vigore dal 2013, e che la sostituirà in toto.

La nuova normativa tutelerà maggiormente i diritti di privacy della comunità, imponendo comportamenti “etici”, quindi nuovi e più stringenti obblighi, per Aziende e professionisti.

Che argomenti tratta?

Per sommi capi, la normativa GDPR tratta di argomenti quali il diritto:

  • d’accesso facilitato e la portabilità dei dati personali
  • di opposizione, rettifica e cancellazione dei dati personali
  • all’oblio
  • di riservatezza
  • di divieto di profilazione dei dati
  • sulla gestione della sicurezza dei dati personali

Sanzioni previste

Per tutte le figure economiche e professionali che non si adeguano alla nuova normativa dal 25 Maggio 2018 sono previste pesanti sanzioni, a fronte di controlli che si annunciano molto frequenti da parte delle autorità di controllo nominate dal Garante della Privacy.

A titolo informativo, viene introdotto un regime di sanzioni che può arrivare a comminare sanzioni anche fino a 20 Mln di euro o fino al 4% del fatturato totale dell’anno precedente.

Gli adempimenti

La normativa prevede importanti adempimenti quali:

  • richiesta di pianificare sistemi tecnici ed organizzativi adeguati per assolvere efficacemente alla protezione dei dati
  • inserisce procedure di valutazione preventiva di impatto sulla protezione dei dati personali, più chiaramente procedure per valutare la necessità e la proporzionalità del trattamento dati volta a gestire i rischi dei diritti e delle libertà delle persone che sono coinvolte in operazioni di trattamento di dati personali.
  • Stabilisce l’inserimento di nuovi ruoli aziendali quali: DPO ( Data Protection Officer), CDO (Chief Data Officer), CISO (Chief Information Security Officer), CIO (Chief Information Officer). Tutte queste nuove figure hanno responsabilità dirette di fronte alla legge se inadempienti al regolamento. In particolare la figura più importante della normativa è certamente il DPO,  responsabile della verifica attuattiva ed applicativa del nuovo regolamento e principale contatto per coloro interessati al rispetto dei loro diritti ed anche verso il Garante.
  • In caso di violazione dei dati personali, introduce l’obbligo di comunicazione al Garante ed agli interessati.

Nel nuovo regolamento sono riportati punti e concetti che permeano l’intera normativa.

Partendo dal concetto della necessità di attuare comportamenti che garantiscano una maggiore tutela e cautela nel trattamento dei dati, si rimarca l’importanza di comportamenti volti a trattare i dati personali in modo lecito, corretto e trasparente.

Il trattamento di questi dati deve poi avvenire per finalità ben definite, esplicite e legittime.

Sicurezza

Uno dei perni su cui si basa la normativa GDPR è la predisposizione e l’allestimento di metodi e tecnologie che garantiscano la sicurezza, l’integrità e la riservatezza dei dati sensibili raccolti, in ogni momento.

Uno degli aspetti più importanti è la richiesta di evitare la raccolta indiscriminata dei dati personali che devono essere adeguati e soprattutto pertinenti alle finalità per cui sono raccolti.

I dati inoltre devono sempre essere aggiornati, esatti ed inoltre conservati per un periodo di tempo non superiore alle finalità che ne hanno determinato la raccolta.

Trasparenza nella gestione

Il nuovo regolamento richiede una grande trasparenza nella gestione dei dati, fornendo al cittadino un ampio controllo su come vengono utilizzati i suoi dati.

Pertanto, la nuova normativa riconosce al cittadino il diritto di:

  • essere informato sul trattamento effettuato sui suoi dati e l’assunzione di corrette politiche di privacy
  • essere informati su eventuali violazioni dei propri dati personali
  • di ricevere senza ritardo, ed al massimo entro un mese, l’accesso ai propri dati, la loro modifica, cancellazione o limitazione di trattamento (diritto all’oblio)
  • di ricevere i propri dati personali  in un formato fruibile e di trasmetterli senza impedimenti ad un altro titolare del trattamento, cioè la funzione di portabilità dei dati.

La protezione dei dati personali deve essere valutata già nel momento di progettazione di nuove procedure prevedendo e mettendo in campo adeguate misure tecniche e organizzative.

e soprattutto

  • I dati devono essere trattati solamente per le finalità previste e per il tempo strettamente necessario a tali finalità.

Conclusioni

Come detto, il nuovo regolamento entrerà in vigore il 25 Maggio 2018, ed è quindi urgente e necessario conoscere ed adeguarsi alle nuove norme, pena l’applicazione di pesanti sanzioni e la denuncia penale e civile da parte dei responsabili aziendali.

No votes yet.
Please wait...