Regolamento Europeo per la protezione dei dati

Regolamento Europeo per la protezione dei dati

Mancano pochi giorni all’attuazione di questa nuova norma!


Abbiamo studiato, cercato informazioni, per avere in sintesi il significato del Regolamento Europeo per la protezione dei dati. Speriamo possa esser utile:

1. Il GDPR riguarda tutti

Il regolamento si applica a qualsiasi azienda, anche fuori europa, che tratti dati personali di cittadini dell’Unione Europea.

2. Il GDPR amplia la nozione di dati personali

Il GDPR arriva a regolamentare anche nuovi tipi di dati personali. Il nuovo Regolamento Europeo considera come personale qualsiasi dato che sia atto a identificare un individuo. Praticamente non esistono dati personali che non ricadano sotto il GDPR, per cui è difficile per le aziende sottrarsi al rispetto delle sue norme.

3. Il GDPR rende più restrittive le regole per ottenere il consenso a usare

La prova di aver ottenuto un consenso valido all’uso delle informazioni personali è uno degli aspetti più onerosi del nuovo Regolamento Europeo. Bisogna usare un linguaggio semplice quando si richiede il consenso a raccogliere dati personali; bisogna essere chiari su come verranno utilizzati i dati; e bisogna prendere atto che rifiutare di rispondere non vale come tacito consenso.

4. Il GDPR obbliga alcuni tipi di aziende a nominare un responsabile

La norma di nominare un responsabile della protezione dei dati (DPO, Data Protection Officer) si applica alle strutture pubbliche che trattano informazioni personali e ad ogni altra entità la cui attività principale richieda un “regolare e sistematico monitoraggio di dati personali su larga scala” oppure un “trattamento su larga scala di speciali categorie di dati”.

5. Il GDPR impone di valutare l’impatto sulla privacy

Il nuovo Regolamento Europeo sancisce l’obbligo di effettuare delle valutazioni PIA (Privacy Impact Assessment) dove il rischio di violazioni della privacy è alto. In poche parole, prima ancora di avviare progetti riguardanti informazioni personali, bisogna effettuare una valutazione del rischio per la privacy e poi assicurarsi di essere in regola con le nome del GDPR man mano che il progetto avanza.

6. Il GDPR introduce un modo comune di notificare la violazione dei dati

Il GDPR armonizza le diverse leggi che oggi sono in vigore in Europa per notificare le violazioni dei dati personali, con l’obiettivo di spingere le aziende ad un monitoraggio costante delle violazioni stesse. La regola impone di notificare alla locale autorità le violazioni dei dati entro 72 ore dalla loro scoperta. Non è così banale, vuol dire che le aziende devono attrezzarsi con tecnologie e processi che le mettano in grado di scoprire una violazione dei dati e reagire. Occorre prevedere percorsi formativi e magari un adeguamento delle policy interne riguardanti la sicurezza dei dati per arrivare a comprendere e riconoscere facilmente le violazioni.

7. Il GDPR sancisce il diritto all’oblio

Le regole per la manipolazione dei dati che il GDPR introduce sono particolarmente severe. Una di queste regole è il cosiddetto principio di minimizzazione, che impone di non conservare i dati più a lungo dello stretto necessario e di usare i dati soltanto con lo scopo con cui erano stati raccolti in origine, a meno di non ottenere un nuovo consenso. In più, il soggetto interessato ha il diritto in certe circostanze di chiedere la cancellazione dei dati che lo riguardano. Di nuovo, occorre dotarsi di processi e tecnologie che permettano di cancellare i dati dietro richiesta.

8. Il GDPR attribuisce responsabilità legale anche a soggetti diversi

In passato, solamente il Data Controller, ossia chi definisce scopo e mezzi per il trattamento dei dati personali, era considerato responsabile delle attività relative al trattamento dei dati, mentre il nuovo Regolamento Europeo estende la responsabilità a tutte le organizzazioni che abbiano a che fare con i dati personali.

In parole povere, vuol dire che la responsabilità legale ricade anche sulle organizzazioni esterne che forniscono servizi di trattamento dati al Data Controller. Anche queste entità, per quanto di puro servizio, devono adeguarsi alle norme del GDPR in tema, per esempio, di minimizzazione dei dati.

9. Il GDPR impone la “privacy by design”

Il software, i sistemi e i processi devono essere progettati tenendo conto della protezione dei dati. Tanto per fare un esempio, la cancellazione effettiva dei dati non è oggi una peculiarità dei prodotti software. Domani sarà obbligatorio introdurla, compito non semplice per i progettisti software.

10. Il GDPR prevede multe astronomiche per chi non rispetta le regole

Le multe previste dal GDPR per i trasgressori possono arrivare al maggiore fra €20 Milioni e il 4% del giro d’affari, e intendiamo il giro d’affari mondiale, non l’utile aziendale! L’aspetto positivo per le aziende è doversela vedere con una sola autorità di supervisione piuttosto che con le varie autorità stato per stato, mentre il cittadino UE conserva il diritto di scegliersi l’autorità di protezione dati a cui sottoporre le proprie lamentele.

2018-05-21T14:57:58+00:00