GDPR

Dal 25 maggio 2018 saranno applicabili le norme del GDPR (General Data Protection Regulation), il nuovo Regolamento europeo in materia di protezione dati entrato in vigore il 24 maggio 2016 per tutti gli stati dell’UE.

Sintetizzando i concetti più importanti, il GDPR tratta di:

  • Dati personali trattati in azienda: viene data una definizione di dato personale, aggiornandola al contesto tecnologico presente, cioè “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, e di trattamento, cioè “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali”. Effettuare un vero e proprio inventario di ciò che in azienda viene trattato in termini di dati personali è certamente un primo utile passo per comprendere quali azioni a tutela porre in essere.
  • Diritti dell’interessato: i dati personali devono essere trattati seguendo i principi riportati dall’art. 5 del GDPR, con limitazione chiara della finalità, esattezza, minimizzandone la richiesta, e garantendone riservatezza ed integrità. Occorre adottare le misure tecniche ed organizzative adeguate affinché l’interessato non solo venga informato in modo chiaro e trasparente sul tipo di trattamento e sulle finalità che esso si prefigge di raggiungere ma garantire anche, in linea generale, i nuovi diritti introdotti dal Regolamento.
  • Accountability: il titolare del trattamento è considerato competente per il rispetto dei principi applicabili al trattamento dei dati personali e deve essere in grado di comprovarlo.
  • Protezione dei dati by design e by default: viene  posto l’obbligo a chi tratta dati personali di adottare le misure tecniche ed organizzative “adeguate”. Tali misure devono essere adottate per impostazione predefinita trattando solo i dati necessari per la finalità specifica del trattamento effettuato.
  • Valutazione d’impatto: in alcuni casi il regolamento impone l’adozione della valutazione d’impatto sulla rischiosità dei trattamenti di dati personali in termini di diritti e libertà degli interessati, “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”.
  • DPO (Data Privacy Officer): una nuova figura introdotta con il Regolamento; si tratta di uno specialista nella protezione dei dati personali che deve compiere alcuni determinati compiti (ex art. 39) ma che soprattutto deve essere adeguatamente coinvolto in tutto ciò che è trattamento di dati personali in azienda in modo da poter ben espletare il proprio mandato, in modo indipendente e professionale.
  • Registro dei trattamenti: In linea generale tutti i titolari ed i responsabili lo devono tenere a disposizione in caso di controlli da parte dell’Autorità (eccezion fatta per gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio).
  • Trasferimento dati personali all’estero: È contemplato solo se lo Stato estero in questione segue regole adeguate agli standard di sicurezza di cui al GDPR.
  • Segnalazione violazioni (data breaches): “Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo” (entro 72 ore).

 

Un non adeguamento a questo regolamento comporterà delle sanzioni amministrative pecuniarie che arrivano fino a 20 milioni di euro o fino al 4% del fatturato annuo; inoltre, le autorità di controllo possono obbligare l’azienda sanzionata ad adeguarsi al Regolamento portandola ad ingenti esborsi di denaro, anche maggiori delle sanzioni stesse.

Per eventuali informazioni sul Regolamento e per una valutazione di conformità dell’azienda restiamo a disposizione.