GDPR dal 25 Maggio in vigore le nuove regole. Di cosa si tratta e come prepararsi?
23 - 02 - 2018Le novità e l’impatto sulle aziende del nuovo Regolamento Generale sulla Protezione dei Dati (GDPR), che entrerà in vigore il 25 maggio 2018 in tutti gli Stati dell’Unione Europea
GDPR dal 25 Maggio in vigore le nuove regole. Di cosa si tratta e come prepararsi?
Le novità e l’impatto sulle aziende del nuovo Regolamento Generale sulla Protezione dei Dati (GDPR), che entrerà in vigore il 25 maggio 2018 in tutti gli Stati dell’Unione Europea
Il GDPR sostituisce l’attuale Direttiva 95/46/EC sulla Protezione dei Dati, che risale al 1995. I principi fondamentali in tema di privacy e protezione dei dati sono rimasti invariati, ma il nuovo regolamento tiene conto dei cambiamenti avvenuti negli ultimi anni nel mondo digitale e si applica in tutti gli stati della UE.
Gli aspetti più innovativi del GDPR rispetto alla precedente normativa sono tre: l’extraterritorialità, le sanzioni e il consenso.
Consenso. Le società che raccolgono o trattano dati personali devono spiegare in modo chiaro agli utenti tutte le condizioni che regolano raccolta e trattamento dei dati. E’ responsabilità di chi raccoglie/gestisce i dati redigere termini e condizioni in un linguaggio semplice, comprensibile a tutti i cittadini, senza possibilità di equivoco. Gli stessi criteri si applicano per gli strumenti attraverso cui l’utente esprime il proprio consenso. E’ inoltre obbligatorio dichiarare come verranno elaborati i dati richiesti all’utente.
Il testo completo del GDPR in italiano è disponibile sul sito dell’ Unione Europea .
GDPR: cosa devono sapere le aziende
Il GDPR ridisegna il concetto di privacy introducendo norme specifiche su modalità di trattamento dei dati, diritti dei soggetti interessati, chi è responsabile dei dati, modalità di comunicazione di eventuali violazioni subite, sanzioni per l’infrazione del regolamento.
Per essere conformi al GDPR le aziende devono prepararsi in anticipo, rivendo le proprie policy e, se necessario, adeguandole alle richieste del regolamento. Nel seguito sono illustrati i punti chiave del GDPR, che hanno un impatto operativo sulle società che raccolgono o trattano dati di cittadini europei.
Notifica di violazioni. Le aziende hanno l’obbligo di notificare alle autorità competenti e ai soggetti interessati le violazioni di dati che possono mettere a rischio “ i diritti e le libertà degli individui ”. La notifica deve avvenire entro 72 ore dalla presa d’atto della violazione.
Diritto di accesso. Le aziende devono garantire agli utenti il diritto di sapere se i loro dati vengono elaborati, dove e a quale scopo. Inoltre, se richiesti, devono fornire i dati personali al soggetto interessato, in modo gratuito e in formato elettronico.
Privacy by Design. Il GDPR trasforma in legge un concetto già diffuso, ma considerato solo una best practice. La protezione dei dati deve essere incorporata in prodotti e servizi a partire dalla fase di progettazione degli stessi, e non essere considerata in fasi successive com un elemento aggiuntivo.
Cifratura e pseudonimizzazione. Alle aziende è richiesto di mettere in atto tecniche che garantiscono e tutelano la privacy dei soggetti interessati. Tra queste ci sono la cifratura dei dati, in modo che possano essere letti solo da chi è autorizzato, e la pseudonimizzazione, che consiste nel sostituire campi identificativi in un set di dati con uno o più identificatori artificiali.
Data Protection Officer (Responsabile della protezione dei dati). Gli enti pubblici e le aziende le cui principali attività implicano “ un monitoraggio regolare e sistematico di dati su larga scala ” dovranno nominare un Data Protection Officer, che avrà il compito di garantire la conformità dell’azienda al GDPR.
Stiamo organizzando dei seminari informativi in materia di GDPR, rimani in contatto con noi!
Rimani in contatto con noi per sapere le date e le modalità di iscrizione