Via Santa Maria 13, Carvico
+ 39 0354397063 assistenza@proximalab.it
Le migliori soluzioni IT

GDPR: di cosa si tratta e cosa comporta per le aziende

GDPR: di cosa si tratta e cosa comporta per le aziende

Il GDPR (General Data Protection Regulation) è un regolamento sulla protezione dei dati che entrerà in vigore il 25 maggio 2018 in tutti i Paesi membri dell’Unione Europea e che andrà a sostituire la direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/EC) istituita nel 1995. Questo regolamento è stato progettato per armonizzare le leggi sulla privacy in tutta Europa, per potenziare la privacy di tutti i dati dei cittadini europei e ripensare il modo in cui le organizzazioni affrontano il tema del trattamento dei dati.

Tuttavia molte imprese risultano ancora impreparate, non avendo avviato alcun tipo di preparazione per soddisfare gli standard minimi del GDPR. Quando entrerà in vigore, le organizzazioni non in regola rischieranno severe sanzioni finanziarie, con multe fino a 20 milioni di euro o del 4% del fatturato globale, se superiore.

L’obiettivo del GDPR è proteggere i cittadini europei da violazioni della privacy e dei dati in un mondo che è ormai molto diverso da quello del 1995. Sebbene i principi fondamentali siano rimasti gli stessi della direttiva precedente, sono stati proposti molti cambiamenti che impongono obblighi più severi e stringenti.

Senza dubbio il cambiamento più grande riguarda la giurisdizione estesa del GDPR, che si applicherà anche a organizzazioni con sede esterna all'UE che gestiscono dati di residenti europei e ai dati gestiti da servizi cloud, su infrastrutture esterne all’organizzazione.
Altro punto importante è la responsabilizzazione del Titolare del trattamento che deve garantire il rispetto dei principi contenuti nel GDPR e tenere un registro delle attività di elaborazione dei dati, con i dati catalogati e classificati per monitorare in maniera approfondita le operazioni all’interno dell'organizzazione.
Il Titolare potrà anche nominare un Data Protection Officer (DPO), ovvero una figura specialistica e altamente qualificata che supporti l’applicazione degli obblighi della nuova normativa, e funga da punto di contatto con le Autorità di controllo e gli interessati.

Consenso

Sono state rafforzate le condizioni per il consenso, per cui le aziende non potranno più utilizzare termini e condizioni lunghi e illeggibili, ma la richiesta di consenso dovrà essere redatta in forma comprensibile e facilmente accessibile, esplicitando chiaramente le finalità del trattamento dei dati.

Notifica di violazione

La notifica di violazione diventerà obbligatoria in tutti gli Stati membri in cui è probabile che si verifichi una violazione dei dati. I responsabili dei dati dovranno notificare la violazione entro 72 ore dal suo rilevamento alle autorità di protezione dei dati e, in caso di violazione ad alto rischio, a tutti gli individui affetti.

Diritto di accesso

Con il GDPR è stato introdotto il diritto di ottenere dai responsabili del trattamento la conferma se i propri dati sono stati elaborati o no, dove e per quali scopi. Inoltre, il responsabile deve fornire una copia dei dati personali, gratuitamente, in formato elettronico. Questo è un grande cambiamento per la trasparenza dei dati.

Diritto all'oblio

Grazie a questo diritto si potrà richiedere al responsabile di cancellare i propri dati personali, bloccarne l'ulteriore diffusione e potenzialmente arrestarne l'elaborazione da parte di terzi. Le condizioni per la cancellazione includono i dati non più pertinenti o necessari alle finalità originali dell'elaborazione o per i quali è stato revocato il consenso.

Portabilità dei dati

I nuovi diritti di portabilità dei dati consentono ai singoli individui di trasmettere i propri dati personali a un altro ente in un formato leggibile da una macchina.

Privacy by design

Privacy by design è un concetto che esiste da tempo ma solo ora sta diventando parte di un obbligo di legge. Secondo questo principio la privacy deve essere inclusa a partire dalla progettazione di un processo aziendale e non aggiunta a posteriori. Questo implica la messa in atto di determinati meccanismi che garantiscono il trattamento esclusivo di dati personali necessari per quella specifica progettazione.

Per far fronte alle novità del GDPR le imprese, se non hanno già provveduto, dovranno quindi dedicarsi a  un attento piano di adeguamento fin da subito, istituendo specifiche procedure che, sebbene richiedano modifiche organizzative significative e investimenti in tecnologie informatiche (antivirus, disaster recovery, firewall, cifratura dati, prevenzione e rilevazione data breach, ecc.), avranno un impatto positivo. Come ha affermato Elizabeth Denham dell’ICO (Information Commissioner’s Office) “Con le opportune policy, pianificazione e formazione del personale, le aziende possono beneficiare di un maggior credito se gli utenti hanno fiducia che i loro dati sono protetti”.