GDPR, ecco come cambia la protezione dei dati

07/07/2017 - Venezia

Il regolamento generale sulla protezione dei dati, che entrerà in vigore dal 25 maggio 2018, comporterà importanti cambiamenti per quello che riguarda la tutela dei dati personali e avrà di certo un impatto a livello globale. Quali sono le novità principali e come avviare la procedura di conformità (evitando quindi le pesanti sanzioni)?

Secondo una previsione fatta da Gartner oltre il 50% delle aziende europee rischia di non essere conforme alla nuova normativa. Questa previsione si basa sul fatto che ad oggi molte organizzazioni non hanno ancora implementato alcuna modifica per uniformarsi. 

Le penalità in cui incorrono le società che non si adeguano al nuovo regolamento, possono arrivare, nei casi più gravi, al 4% del fatturato annuo globale o a 20 milioni di euro. Le realtà in “cloud” non sono escluse da questo adempimento.

Presentiamo di seguito i temi principali del nuovo regolamento, che sostituisce la precedente Direttiva sulla Protezione dei Dati 95/46/EC e che si pone l’obiettivo di armonizzare la normativa sulla privacy dei dati in UE, per rafforzare e proteggere la tutela dei cittadini e per riorganizzare il modo in cui le aziende affrontano il tema del trattamento dei dati.

GDPR infografica

I passi che hanno portato al GDPR. Fonte inforgrafica: digitalguardian.com

 

  • La principale innovazione riguarda l’ambito di applicazione territoriale. Diversamente da quanto previsto dal vigente codice sulla privacy, per il quale la disciplina in materia prevede che il trattamento dei dati personali sia effettuato “nel contesto delle attività di uno stabilimento del titolare situato nell’UE”, il nuovo regolamento sancisce l’applicabilità della disciplina “indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”. Il nuovo regolamento si applica infatti anche a Titolari e Responsabili del trattamento non stabiliti nell’UE che trattino dati di persone fisiche in relazione a offerte di beni e servizi, oppure effettuino attività di monitoraggio sul comportamento di persone fisiche che si trovano nell’UE.

 

  • Il principio di accountability. Il Titolare ha la responsabilità di dimostrare di aver agito in conformità alle direttive. Dovrà quindi esistere un corpo normativo procedurale di regole interne e di repository che permetta di evidenziare l’aderenza alla nuova normativa.

 

  • Privacy by Design. E’ un concetto che esiste da anni ma solo con il GDPR diventa parte di un provvedimento legale. Richiede che i Titolari adottino misure tecniche e organizzative già dalle fasi di progettazione oltre che di esecuzione del trattamento, che tutelino i principi di protezione dei dati. Le aziende che realizzano soluzioni software dovranno quindi considerare le esigenze di sicurezza e privacy prima ancora di progettare la soluzione. Il concetto di privacy by default invece prevede che le misure e tecniche di utilizzo dei dati debbano garantire l’utilizzo esclusivo dei dati personali necessari per ciascuna finalità di trattamento.

 

  • Si introduce il Responsabile della protezione dei dati (in inglese Data Processor Officer). Questa figura può essere interna o esterna all’organizzazione imprenditoriale, l’importante è che possieda i requisiti previsti. Va nominato obbligatoriamente solo nei casi indicati dalla Normativa: 

A) Quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
B) Quando le attività principali del Titolare o Responsabile consistono in trattamenti che richiedono il controllo regolare e sistematico degli interessati su larga scala;
C) Quando il Titolare o Responsabile trattano dati sensibili o giudiziari.

 

  • Data Breach. Il precedente regolamento prevedeva l’obbligo di comunicazione (al Garante e in alcuni casi anche al contraente/cliente) dell’avvenuta violazione di dati personali solo per i “fornitori di servizi di comunicazione elettronica accessibili al pubblico”. Il GDPR estende l’obbligo di comunicazione a tutti i Titolari e Responsabili: il Responsabile è obbligato a informare il Titolare e questo deve notificare la violazione all’autorità di controllo (Garante) possibilmente entro 72 ore dal momento in cui ne è venuto a conoscenza e comunque senza un “ingiustificato ritardo”.

 

  • Maggiori obblighi di trasparenza. Le informazioni sull’interessato devono essere rese con un linguaggio semplice e chiaro, devono essere prodotte gratuitamente in formato elettronico  e devono prevedere un periodo di conservazione dei dati personali, il diritto di proporre un reclamo in caso di violazione e l’intenzione del Titolare di trasferire dati personali ad un Paese terzo.

 

  • Riconoscimento del diritto all’oblio. L’interessato avrà il diritto di chiedere che vengano cancellati e non più sottoposti a trattamento i propri dati personali se:

A) non sono più necessari per le finalità per cui erano stati raccolti
B) se l’interessato ha ritirato il consenso o si è opposto al trattamento, o anche nel caso in cui il trattamento non sia conforme al Nuovo Regolamento.

 

Per qualsiasi richiesta o dubbio sul General Data Protection Regulation, contattaci a: marketing@venicecom.it o chiamaci al 041.2525811