News

GDPR: Cosa accadrà dal 25 maggio 2018

GDPR 25maggio2018 1

 

Il nuovo GDRP è complesso e noi abbiamo provato a riassumere le novità in soli 10 punti chiave

 

  1. Il GDPR riguarda tutti


    Il regolamento si applica a qualsiasi azienda, ovunque essa si trovi nel mondo, che tratti dati personali di cittadini dell’Unione Europea. Questo vuol dire che ogni entità che manipoli informazioni relative a cittadini della UE deve conformarsi alle norme del GDPR.E’ dunque il nuovo Regolamento Europeo la prima legge globale sulla protezione dei dati e va presa molto seriamente. La conformità al 100% è richiesta fin dal giorno 25/05/2018.

  2. Il GDPR amplia la nozione di dati personali


    La definizione di dati personali ha sempre abbracciato ambiti piuttosto vasti, ma il GDPR arriva a regolamentare anche nuovi tipi di dati personali. Il nuovo Regolamento Europeo considera come personale qualsiasi dato che sia atto a identificare un individuo.
    Per la prima volta sono incluse tra i dati personali informazioni genetiche, o contenute in "cartelle cliniche precedenti", o di carattere "economico e finanziario" o ancora "sociali e online". Praticamente non esistono dati personali che non ricadano sotto il GDPR, per cui è difficile per le aziende sottrarsi al rispetto delle sue norme.

  3. Il GDPR rende più restrittive le regole per ottenere il consenso a usare le informazioni personali.


    La prova di aver ottenuto un consenso valido all’uso delle informazioni personali è uno degli aspetti più onerosi del nuovo Regolamento Europeo. Bisogna usare un linguaggio semplice quando si richiede il consenso a raccogliere dati personali; bisogna essere chiari su come verranno utilizzati i dati; e bisogna prendere atto che rifiutare di rispondere non vale come tacito consenso. Secondo molti osservatori la maggior parte dei meccanismi oggi usati per ottenere il consenso a raccogliere e usare i dati personali non è in linea con le norme del GDPR. E senza consenso valido ogni attività di trattamento dei dati personali sarebbe bloccata dall'autorità.

  4. Il GDPR obbliga alcuni tipi di aziende a nominare un responsabile della protezione dei dati


    La norma di nominare un responsabile della protezione dei dati (DPO, Data Protection Officer) si applica alle strutture pubbliche che trattano informazioni personali e ad ogni altra entità la cui attività principale richieda un “regolare e sistematico monitoraggio di dati personali su larga scala” oppure un “trattamento su larga scala di speciali categorie di dati”.

  5. Il GDPR impone di valutare l’impatto sulla privacy


    Il nuovo Regolamento Europeo sancisce l’obbligo di effettuare delle valutazioni PIA (Privacy Impact Assessment) dove il rischio di violazioni della privacy è alto. In poche parole, prima ancora di avviare progetti riguardanti informazioni personali, bisogna effettuare una valutazione del rischio per la privacy e poi assicurarsi di essere in regola con le norme del GDPR man mano che il progetto avanza.

  6. Il GDPR introduce un modo comune di notificare la violazione dei dati


    Il GDPR armonizza le diverse leggi che oggi sono in vigore in Europa per notificare le violazioni dei dati personali, con l'obiettivo di spingere le aziende ad un monitoraggio costante delle violazioni stesse.
    La regola impone di notificare alla locale autorità le violazioni dei dati entro 72 ore dalla loro scoperta. Non è così banale, vuol dire che le aziende devono attrezzarsi con tecnologie e processi che le mettano in grado di scoprire una violazione dei dati e reagire. Occorre prevedere percorsi formativi e magari un adeguamento delle policy interne riguardanti la sicurezza dei dati per arrivare a comprendere e riconoscere facilmente le violazioni.

  7. Il GDPR sancisce il diritto all'oblio


    Le regole per la manipolazione dei dati che il GDPR introduce sono particolarmente severe. Una di queste regole è il cosiddetto principio di minimizzazione, che impone di non conservare i dati più a lungo dello stretto necessario e di usare i dati soltanto con lo scopo con cui erano stati raccolti in origine, a meno di non ottenere un nuovo consenso.
    In più, il soggetto interessato ha il diritto in certe circostanze di chiedere la cancellazione dei dati che lo riguardano. Di nuovo, occorre dotarsi di processi e tecnologie che permettano di cancellare i dati dietro richiesta.

  8. Il GDPR attribuisce responsabilità legale anche a soggetti diversi dal Data Controller


    In passato, solamente il Data Controller, ossia chi definisce scopo e mezzi per il trattamento dei dati personali, era considerato responsabile delle attività relative al trattamento dei dati, mentre il nuovo Regolamento Europeo estende la responsabilità a tutte le organizzazioni che abbiano a che fare con i dati personali.
    In parole povere, vuol dire che la responsabilità legale ricade anche sulle organizzazioni esterne che forniscono servizi di trattamento dati al Data Controller. Anche queste entità, per quanto di puro servizio, devono adeguarsi alle norme del GDPR in tema, per esempio, di minimizzazione dei dati.

  9. Il GDPR impone la "privacy by design"


    Il software, i sistemi e i processi devono essere progettati tenendo conto della protezione dei dati. Tanto per fare un esempio, la cancellazione effettiva dei dati non è oggi una peculiarità dei prodotti software. Domani sarà obbligatorio introdurla, compito non semplice per i progettisti software.

  10. Il GDPR prevede multe astronomiche per chi non rispetta le regole


    In passato, l'Irlanda era considerata una specie di porto franco dalle grandi multinazionali USA, vedi Google, anche per l'atteggiamento relativamente permissivo nei confronti della protezione dei dati. Con il GDPR tutto questo finisce perché qualsiasi autorità Europea di protezione dati può agire contro qualsiasi organizzazione, indipendentemente da dove essa si trovi nel mondo.
    In più, le multe previste dal GDPR per i trasgressori possono arrivare al maggiore fra €20 Milioni e il 4% del giro d'affari, e intendiamo il giro d'affari mondiale, non l'utile aziendale! L'aspetto positivo per le aziende è doversela vedere con una sola autorità di supervisione piuttosto che con le varie autorità stato per stato, mentre il cittadino UE conserva il diritto di scegliersi l'autorità di protezione dati a cui sottoporre le proprie lamentele.

 

Abbiamo preparato un questionario di autovalutazione che in pochi minuti
ti aiuta a verificare se la tua azienda è pronta al nuovo GDPR

INIZIA L'AUTOVALUTAZIONE

AZIENDA
I NOSTRI SERVIZI
DOWNLOAD BROCHURE

Scarica la nostra brochure aziendale

brochure

RICHIESTA INFORMAZIONI

Vuoi maggiori informazioni sulla nostra azienda e i nostri servizi? Scrivici o richiedi un preventivo personalizzato: troveremo la soluzione adatta alla tua azienda!

contattaci subito!