Protezione dati personali, ecco le direttive del nuovo regolamento Gdpr

general data privacy regulation

Importanti novità a difesa della privacy con l’entrata in vigore del GDPR (acronimo di General Data Protection Regulation), che sarà operativo anche in Italia a partire dal 25 maggio 2018, senza alcune possibilità di deroghe o proroghe. Emanato dalla Commissione europea per rafforzare la protezione dei dati personali di cittadini e dei residenti nell’Ue e per prevenire eventi di ciber crime, andrà a sostituire la Direttiva sulla protezione dei dati 95/46/EC.

Entro questa data imprese e soggetti pubblici sono tenuti ad osservare ed adempiere agli obblighi previsti dal nuovo regolamento sulla protezione dei dati personali delle sole persone fisiche, che rappresenta la prima legge globale sulla data protection.

Le norme stabilite dalla Commissione UE si applicano sia alle imprese Ue sia a quelle situate fuori che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole, che definiscono i limiti al trattamento automatizzato dei dati personali e stabiliscono criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue.

Con dati personali si intendono quelli che possono servire ad identificare un individuo compresi, per la prima volta, i dati genetici, mentali, culturali ed economici o sociali. Il titolare del trattamento deve assicurarsi di mettere in atto “misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento”, affinchè la violazione dei dati personali non presenti “un rischio per i diritti e le libertà delle persone fisiche”.

Inoltre per i casi di violazione dei dati sono stati introdotti termini comuni per la notifica dei data breach, che andranno comunicati alle autorità locali entro 72 ore dalla scoperta della falla.

NOVITA’ GDPR 2018

I cambiamenti introdotti dal nuovo Regolamento sono:

  • Principio di Privacy by design: approccio concettuale che va utilizzato in ogni occasione e contesto in cui sia necessario garantire la protezione dei dati personali, secondo cui l’utente è considerato il centro del sistema privacy;
  • principio di Privacy by default, che stabilisce che per impostazione predefinita le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini;
  • il consenso dovrà essere “Libero, specifico, informato, inequivocabile, sempre revocabile. Inoltre il titolare ha l’onere di dimostrare di aver ottenuto l’ onere della prova”, ovvero il consenso dell’interessato secondo i requisiti di legge.
  • il diritto all’oblio: l’interessato ha diritto di chiedere al titolare la cancellazione dei propri dati che lo riguardano;
  • la portabilità del dato: l’interessato avrà diritto di ricevere in qualsiasi momento dall’azienda i propri dati contenuti in forma strutturata e facilmente leggibile al fine di trasferirli da un gestore ad un altro.

OBBLIGHI GDPR AZIENDE

Imposte dal GDPR nuovi obblighi a carico delle aziende in materia di privacy, tra cui:

  • il Registro dei Trattamenti aggiornato, le nuove informative e modelli di consenso;
  • il modello organizzativo per gestire data privacy e data protection;
  • il meccanismo di analisi dei rischi e il giudizio di adeguatezza (Data Protection Impact Assessment);
  • la nomina di un Data Protection Officer (DPO);
  • adeguamento dei contratti con i fornitori;
  • responsabilizzazione dei titolari del trattamento (accountability);
  • la Data Breach Notification.

Obbligatoria per la PA e nelle imprese che processano grandi quantitativi di dati anche la nomina di un funzionario preposto alla protezione dei dati, il Data Protection Officer, che si occuperà del monitoraggio dei dati. In caso contrario, sono previste multe che possono arrivare fino a 10 milioni di euro, oppure per le imprese fino al 2% del fatturato mondiale annuo.

Imprese ed enti in caso di inosservanza delle regole rischiano pesanti sanzioni, anche stabilite in percentuale, con riferimento al fatturato dell’azienda.

Per mettersi in regola è possibile frequentare i corsi certificati GDPR, organizzati dall’ente formativo Asesi in collaborazione con Confesercenti, che affrontano nel merito tutte le novità in materia di privacy così come emerse dal Nuovo Regolamento Privacy UE.

Pubblicato il