Adeguamento GDPR

Che cos'è il GDPR?

Il Regolamento Generale sulla Protezione dei dati, noto come GDPR (General Data Protection Regulation) è un regolamento dell’Unione Europea n. 679/2016, direttamente applicabile in tutti gli Stati membri a partire dal 25 maggio 2018, che si propone di uniformare e armonizzare la materia relativa alla protezione, al trattamento e alla circolazione dei dati personali delle persone fisiche.

In particolare il GDPR:
–  introduce regole più chiare su informativa e consenso
–  definisce i limiti al trattamento automatizzato dei dati personali
–  introduce nuovi diritti ( es. diritto di accesso,alla portabilità, alla rettifica, alla cancellazione dei dati, all’oblio)
–  stabilisce criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue
–  introduce norme rigorose per i casi di violazione dei dati ( c.d. data breach)

Una delle novità del GDPR è l’extraterritorialità, poiché le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato UE.

Tutte le aziende dovranno quindi rispettare le nuove regole per non rischiare di incorrere in pesanti sanzioni.

Il regolamento generale sulla protezione dei dati (GDPR) è un cambiamento rivoluzionario in merito alla protezione dei dati.

Cosa rischi se non metti in regola la tua azienda con il GDPR?

Sanzioni molto pesanti.
Le sanzioni previste nel regolamento sono di importo molto elevato, considerando che possono arrivare per le violazioni più gravi fino a 20 milioni di euro o il 4% del fatturato mondiale annuale.
L’art.83 del GDPR stabilisce che le sanzioni pecuniarie irrogate devono osservare i criteri di effettività, proporzionalità e deterrenza. 
Precisa, inoltre, che le sanzioni devono essere applicate in funzione del singolo caso e tenendo conto:
–  della natura;
–  della gravità;
–  della durata della violazione;
–  della finalità del trattamento;
–  del numero di interessati lesi;
–  del livello del danno;
–  del carattere doloso o colposo della violazione.

Quali sono i principi introdotti dal GDPR?

Il GDPR sposta l’attenzione sulla valutazione del rischio introducendo due principi cardine:
1. principio dell’accountability: il termine inglese significa “dover rendere conto del proprio operato”, in italiano può essere tradotto “responsabilizzazione”, che si concretizza con l’adozione di comportamenti volti a dimostrare la concreta adozione del regolamento, attraverso misure di tutela e di garanzia dei dati trattati;
2. principio “privacy by design”, in base al quale i prodotti e i servizi dovranno essere progettati fin dall’inizio in modo da tutelare la privacy degli utenti, cioè il trattamento deve essere previsto e configurato fin dall’inizio prevedendo le garanzie per tutelare i diritti degli interessati.

Il regolamento europeo prevede una serie di obblighi proattivi, a dimostrazione della concreta, e non meramente formale, adozione del regolamento stesso. In tale ottica, la predisposizione e l’aggiornamento della documentazione è essenziale, in quanto indice di corretta implementazione delle norme:
–  documentazione attestante il rispetto dei diritti degli interessati (informative, moduli raccolta consenso)
–  documentazione di ripartizione ruoli e responsabilità (contratti e nomine dei responsabili, procedure, ecc…)
–  documentazione attestante i trattamenti svolti (registro; valutazione di impatto, trasferimento dati extra UE)
–  documentazione attestante le misure di sicurezza implementate