GDPR per le piccole e medie aziende.

Condividi su facebook
Condividi su twitter
Condividi su linkedin

Il General Data Protection Regulation- Regolamento UE 2016/679 è il Regolamento con cui la Commissione europea rende omogenea la protezione dei dati personali di cittadini dell’UE e dei residenti nell’UE, all’interno e all’esterno dei confini dell’Unione europeaE (UE).

Il testo del 2016 avrà efficacia il 25 maggio 2018.

La definizione di dato personale si amplia aggiornandosi al contesto tecnologico più attuale.
Aumenteranno le categorie di dati considerate critiche per l’identificazione di un individuo: identità genetica, psichica, economica, culturale o sociale.
Le aziende dovranno ridurre la quantità di informazioni personali che immagazzinano e non memorizzare le informazioni più a lungo del necessario.

Il regolamento impone sanzioni pesanti alle organizzazioni che abbiano subito un Data Breach: fino al 4% del fatturato globale annuo.

Se l’azienda non ha sede in Europa, ma opera nella UE, fornendo prodotti o servizi ai clienti dell’Unione Europea, dovrà rispettare comunque il regolamento su dati personali di cittadini UE, .

Il conferimento del consenso al trattamento dei dati dovrà essere semplificato e trasparente; non vale il silenzio assenso e il consenso dovrà essere fornito in modo chiaro e affermativo.

Per alcune società la nomina di un responsabile della protezione dei dati (DPO) sarà obbligatoria, così come tutti gli enti pubblici devono nominare un DPO.

Un DPO sarà richiesto inoltre laddove le attività principali del “controller” o del “processore” di dati
prevedano “un monitoraggio regolare e sistematico su larga scala delle persone interessate”,
o qualora la società svolga attività di elaborazione su larga scala di “categorie particolari di dati personali”.

Le imprese il cui core business non sia la elaborazione dei dati sono esenti dall’ obbligo.

Prima di intraprendere attività di elaborazione dei dati ad elevata sensibilità deve essere impiegato un approccio basato sull’analisi del rischio connesso.

I responsabili del trattamento saranno tenuti a effettuare valutazioni d’impatto sulla privacy nei casi in cui i rischi di violazione della privacy stessi siano elevati con il fine di analizzare e ridurre al minimo i rischi per le loro persone interessate.

I “data controller” Titolari del trattamento saranno tenuti a segnalare violazioni dei dati alla loro autorità di Garante del Trattamento dei Dati a meno che sia improbabile che esse rappresentino un rischio per i diritti e le libertà delle persone interessate . La notifica deve essere effettuata entro 72 ore dal momento in cui il Titolare del Trattamento venga a conoscenza di tali violazioni, a meno che non ci sono circostanze eccezionali, che dovranno essere giustificate.

Vigerà altresì l’obbligo di notifica ai soggetti i cui dati siano stati violati, qualora la loro privacy sia a rischio.
Non sono indicati termini temporali per la notifica stessa.

La supply chain sarà sottoposta a revisioni e audit regolari allo scopo di verificarne l’idoneità al nuovo regime di sicurezza.

Il cittadino ha il “diritto all’oblio”.

Il regolamento prevede linee chiare circa le circostanze in cui tale diritto può essere esercitato.

Dal momento che il regolamento si applica anche a chi fa “data processing” (Responsabili del trattamento) le organizzazioni devono essere consapevoli del rischio insito nel trasferimento dei dati a paesi che non facciano parte dell’Unione Europea. I “Data controller” -Titolari del Trattamento – non comunitari dovranno nominare loro rappresentanti nell’UE.

Chi effettua attività di elaborazione di dati avrà obblighi di legge diretti e responsabilità, il che significa che essi possano essere ritenuti direttamente responsabili di una violazione dei dati. Gli accordi contrattuali dovranno essere aggiornati e prevedere obbligatoriamente per gli accordi futuri l’individuazione e la ripartizione di responsabilità e obblighi tra il titolare e il responsabile del trattamento del dato. Le parti dovranno documentare ancora più chiaramente le loro particolari responsabilità rispetto ai dati e l’aumento dei livelli di rischio potrà impattare sui costi del servizio.

Il diritto alla portabilità dei dati consente all’utente di richiedere una copia dei dati personali in un formato utilizzabile ed elettronicamente trasmissibile ad un altro sistema di elaborazione.

Il GDPR contiene i requisiti che i sistemi e i processi devono considerare conformi per il rispetto dei principi della protezione dei dati. L’essenza del privacy by design è che in un servizio o un prodotto la privacy venga presa in considerazione non solo nel momento del delivery, ma sin dallo sviluppo del “concept” del servizio o del prodotto stesso.

E’ chiaramente indicato inoltre che per proteggere i diritti dei proprietari dei dati stessi, il Titolare del Trattamento dei dati raccolga e conservi nel tempo esclusivamente i dati necessari allo scopo.

Viene creato uno “sportello unico” per le imprese: le imprese dovranno fare riferimento ad un’unica autorità di vigilanza, non più ad una per ciascuno dei 28 Stati membri dell’UE, il che renderà più semplice ed economico per le aziende fare affari in Europa.
Ciò avrà anche un impatto positivo sui fornitori di servizi internet con sedi multiple in diversi paesi dell’UE.