Tutto quello che bisogna sapere sulla GDPR

Cos’è la GDPR

Il Regolamento generale sulla protezione dei dati è la nuova normativa sulla privacy per l’Unione Europea. Rovesciando la prospettiva di disciplina di riferimento dei dati personali, la GDPR responsabilizza le aziende, secondo il principio della accountability. I “titolari del trattamento”, TUTTE LE AZIENDE, sono tenute ad adeguarsi e rivedere le modalità di trattamento dei dati personali. La norma evidenzia come fondamentali le misure di sicurezza informatica invitando quindi all’uso di strumenti conformi.

La normativa GDPR in breve

Il GDPR General Data Protection – Regolamento GDPR UE 2016/679 è già attivo. Già adottato il 27 Aprile 2016, è entrato in vigore il 24 maggio 2016 e sarà applicato a partire dal 25 Maggio 2018, abrogando l’attuale Direttiva sulla privacy 95/46/CE.

Il GDPR stabilisce rigorosi requisiti globali di privacy che regolano le modalità di trattamento e protezione dei dati personali delle persone fisiche, rispettando le scelte dei singoli individui rispetto ai propri dati, indipendentemente da dove i dati vengono inviati, trattati o archiviati.

È questo un cambiamento importante, che interesserà profondamente aziende di ogni tipo e di ogni dimensione.

sei principi della GDPR  

  1. Necessità di trasparenza nella gestione e nell’uso dei dati personali
  2. Limitazione del trattamento dei dati personali a scopi legittimi specifici 
  3. Limitazione della raccolta e dell’archiviazione dei dati personali a scopi specifici
  4. Possibilità per i singoli individui di correggere i propri dati personali o richiederne l’eliminazione 
  5. Limitazione dell’archiviazione dei dati personali per il solo tempo necessario allo scopo per cui sono stati raccolti  
  6. Assicurare che i dati personali siano protetti attraverso pratiche di sicurezza appropriate

Cambiamenti generali e obiettivi del Regolamento GDPR

La modifica principale della GDPR sta nel modo di vedere la normativa, che rovescia la prospettiva della disciplina di riferimento concependo un quadro normativo tutto incentrato sui doveri e la responsabilizzazione del titolare del trattamento (“accountability”).  

Senza entrare nel merito dei singoli articoli (gli appassionati possono trovare QUI il testo completo GDPR) la nuova legge si sviluppa essenzialmente su processi, attività, misure tecniche e organizzative, sanzioni e obblighi rivolti al titolare (e responsabile) del trattamento, mentre la Direttiva 95/46 era invece tutta incentrata sui diritti dell’interessato.

Esso offre quindi ai singoli individui un maggiore controllo sui propri dati personali, garantisce la trasparenza nell’uso dei dati e richiede misure di sicurezza controlli per la protezione dei dati.

Altro obiettivo della Commissione Europea è quello di semplificare ed unificare il contesto formativo in materia di trattamento dei dati personali, unificando i regolamenti entro l’UE e dall’UE. Il GDPR affronta anche il tema dell’esportazione dei dati personali al fuori dell’UE. Ciò significa anche che il recepimento del regolamento è automatica ed immediato. 

Impone processi specifici da applicare, tipi di comunicazione e caratteristiche tecnologiche degli strumenti utilizzati entrando in particolar modo nel merito dell’infrastruttura IT delle singole Organizzazioni, che le aziende dovranno attuare per conformarsi. 

La GDPR in pratica

Il GDPR ha un ambito di applicazione più ampio di quanto potrebbe sembrare a prima vista. La normativa impone nuove regole ad aziende, enti pubblici, organizzazioni no profit e organizzazioni di altro tipo che offrono beni e servizi alle persone all’interno dell’Unione Europea (UE) o che raccolgono e analizzano dati relativi a persone residenti nell’Unione Europea – e si applica a prescindere da dove si trovino nel mondo.  
requ
Le aziende che elaborano dati personali provenienti da oltre 5000 cittadini UE, designate dalla legge sulla privacy come Titolari del trattamento dei dati personali, hanno una ampia serie di requisiti da rispettare. Ad esse infatti, competono per legge «…le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza». 

Il titolare del trattamento e il Garante per la protezione dei dati personali 

Il Titolare del trattamento come il Responsabile del trattamento (laddove previsto) sono chiamati a mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza e trasparenza adeguato al rischio. 

La funzione fondamentale del Titolare del trattamento è quella di comunicare con l’interessato, persona fisica cui si riferiscono i dati personali, e con il Garante per la protezione dei dati personali (maggiori informazioni sul sito www.garanteprivacy.it ). Inoltre, egli procede alla nomina obbligatoria di un responsabile della protezione dei dati (DPO), figura indipendente che può essere anche esterna, e provvede al mantenimento di un Registro delle attività di trattamento. Quest’ultimo si applica pienamente anche alle piccole aziende che trattano in maniera continuativa particolari categorie di dati personali (ossia i dati sensibili, quelli relativi a condanne penali e reati, ossia i dati giudiziari..)  

Requisiti della GDPR

Nello specifico il GDPR include numerosi requisiti relativi a raccolta, archiviazione e uso delle informazioni personali, tra cui le modalità per: 

  • Identificare e proteggere i dati personali nei sistemi 
  • Soddisfare nuovi requisiti di trasparenza 
  • Rilevare e segnalare violazioni dei dati personali 
  • Formare personale e dipendenti che si occupano di privacy 

L’ambito d’intervento principale sarà quindi proprio quello informatico. I processi informatici utilizzati dovranno garantire un livello di protezione molto alto e dovranno essi stessi essere conformi alla legge. L’ammodernamento della legislazione in tema di privacy e l’adempimento del GDPR non sarà di facile adozione ma sarà necessario. 

Sanzioni

Nel breve periodo ogni azienda dovrà quindi sollecitarsi ad adottare le misure più adeguate al raggiungimento degli obiettivi di conformità. A meno che non vorrà incorrere in pesanti sanzioni e procedimenti penali, anche questi rivisti dal nuovo regolamento, con conseguenti perdite in termini economici e di reputazione. 

In caso di mancato rispetto di queste norme, il GDPR consente alle autorità di protezione dei dati di emettere multe fino a 20 milioni di euro o per il 4% del fatturato mondiale annuo di una società, a seconda di quanto risulti più gravoso per l’azienda sanzionata. 

Sarà utile iniziare a preparare il proprio ambiente e rivedere le procedure di gestione dei dati e della privacy. Senza rischiare di trovarsi impreparati alla sua entrata in vigore. Evitiamo inutili, affannose ed onerose corse contro il tempo! 

Come procedere per l’adeguamento

Conformarsi alla GDPR non è un’azione finita ma rappresenta un processo in divenire teso a modificare la cultura stessa relativa alla privacy, muovendo dagli assunti della privacy by design.

Data l’ampiezza del perimetro di impatto del GDPR a livello aziendale, è necessario un approccio strutturato e comprensivo di tutte le leve su cui è possibile agire in relazione all’obiettivo di adeguamento. 

Per orientarsi nel percorso verso la conformità sarà utile concentrarsi su 4 passaggi fondamentali: 

  1. Rilevamento (delle minacce; dell’uso accidentale/intenzionale improprio dei dati raccolti) 
  2. Protezione a più livelli dei dati 
  3. Gestione dei dati scambiati/raccolti/trattenuti 
  4. Segnalazione

Come procedere? ⇒Percorso e strategie per la conformità