GDPR: cosa cambia e come prepararsi

Il 25 maggio 2018 troverà piena applicazione il Regolamento europeo in materia di protezione dei dati personali, noto come GDPR e già formalmente in vigore dal 2016. Il testo è ricco di nuove indicazioni in materia di protezione dei dati personali e di privacy rispetto all’attuale D.Lgs. 196/03. Inoltre, sarà direttamente applicabile in tutti gli Stati membri dell’Unione Europea (e non solo in Italia), senza necessità di recepimento esplicito da parte dei singoli Paesi. 

Il nuovo Regolamento esplicita il diritto di ogni persona alla protezione dei propri dati personali, indipendentemente dalla propria nazionalità e residenza. In sintesi, cambia radicalmente la responsabilità di chi detiene e usa dati personali di soggetti terzi (es. clienti, dipendenti, etc.)

- Non è più sufficiente ottenere il consenso sulla base dell'informativa privacy

- Il titolare ha la responsabilità della corretta e sicura conservazione dei dati e deve notificare all'autorità ogni violazione significativa

- La sicurezza è sia informatica che fisica

- In molti casi, è obbligatoria la nomina di un DPO (Data Protection Officer) 

- Al titolare spetta l'onere di dimostrare d'aver fatto tutto il necessario e il possibile per proteggere i dati personali

- Le sanzioni possono arrivare fino a 20 milioni di euro o al 4% del fatturato

Iscrizione Webinar GDPR 21 - 22 Febbraio 2018

Partecipa al Webinar sul GDPR di GtGprivatecare.it!

Iscriviti cliccando qui!

Vediamo più in dettaglio le novità introdotte dal GDPR:  

1. Dati personali trattati dalle aziende - Il Regolamento ha cambiato la definizione stessa di dato personale, ampliandola rispetto a quanto eravamo abituati a fare finora e, in particolare, adeguandola al contesto tecnologico attuale. Oggi, "dato personale" è qualsiasi informazione riguardante una persona fisica identificata o identificabileinteressato»)". Quindi, non solo informazioni come i dati anagrafici e socio-demografici, ma anche identificativi online. Essere pienamente consapevoli di quali dati vengono raccolti nella propria struttura è il primo passo da compiere per porre in essere le azioni necessarie ad adeguarsi al GDPR. 

2. Diritti dell'interessatoI dati personali devono essere trattati seguendo i principi riportati dall’art. 5 del GDPR, con limitazione chiara della finalità, esattezza, minimizzandone la richiesta, e garantendone riservatezza ed integrità. L’informativa utilizzata finora deve essere adeguata ai nuovi contenuti previsti dal GDPR e genericamente resa in tempi ragionevoli. Il diritto di accesso ai dati personali trattati deve essere garantito all’interessato. Il consenso al trattamento dei dati da parte dell'interessato deve risultare “libero, specifico, informato e inequivocabile” (nonché esplicito per i dati sensibili). 

3. AccountabilityIl titolare del trattamento è considerato responsabile del rispetto dei principi applicabili al trattamento dei dati personali e deve essere in grado di comprovarlo. Di conseguenza, le decisioni del titolare sulle misure che adotta a protezione dei dati personali dovranno essere documentate opportunamente e comprovabili come tecnologicamente logiche e, in generale, “di buon senso” al tempo in cui sono state adottate. 

4. Protezione dei dati by design - La conformità dei trattamenti al nuovo Regolamento e la sicurezza delle informazioni vanno garantite già in fase di progettazione di servizi e sistemi: non sono più consentite correzioni "in corsa". 

5. Valutazione d'impatto - Il regolamento impone l’adozione della valutazione d’impatto sulla rischiosità dei trattamenti di dati personali in termini di diritti e libertà degli interessati “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche". 

6. DPO (Data Protection Officer) - La designazione di una figura, all'interno dell'organizzazione aziendale, che sia responsabile della protezione dei dati è obbligatoria quando si tratta di un'autorità pubblica, se gli interessati vengono monitorati in maniera regolare e su larga scala o, ancora, se le attività principali dell'azienda consistono nel trattamento su larga scala di dati particolarmente sensibili, come, per esempio, quelli relativi a condanne penali e reati. Il DPO supporta il titolare e i dipendenti in tutto ciò che riguarda i dati personali, si assicura che il Regolamento venga applicato correttamente e funge da punto di contatto tra l'azienda e l'autorità di controllo.    

7. Registro dei trattamentiIn linea generale, è obbligatorio per tutti gli organismi con più di 250 dipendenti o che effettuino trattamenti a rischio

8. Trasferimento di dati personali all'estero - Il Regolamento lo consente solo se lo Stato estero in questione segue regole adeguate agli standard di sicurezza di cui al GDPR. Inoltre, nel caso in cui si trattino dati personali in più stabilimenti anche europei, occorre evidenziare quale sia l’autorità capofila cui fare riferimento.

9. Segnalazione delle violazioni (data breaches) - Eventuali rischi elevati per i diritti e le libertà delle persone fisiche derivanti dalla violazione dei dati personali, sia che siano accidentali o derivanti da azioni illecite, vanno notificati agli interessati entro 72 ore dal verificarsi della violazione stessa. Inoltre, bisogna assicurarsi di adottare adeguate procedure per individuare, segnalare (ed eventualmente investigare) su una eventuale violazione dei dati personali.

10. Sanzioni - Il GDPR prevede pesanti sanzioni (da 10 a 20 milioni di €, o dal 2 al 4% del fatturato mondiale dell'azienda) in caso di violazione dei principi relativi al trattamento e/o al consenso, delle disposizioni relative ai diritti dell'interessato, delle disposizionii in materia di trasferimento dei dati o, ancora, dell'ordine di cessazione del trattamento dei dati. 

Volete saperne di più? 

Partecipa al Webinar sul GDPR di GtGprivatecare.it!

Iscriviti cliccando qui!