Process Factory

You Are Viewing

GENERAL DATA PROTECTION REGULATION: LE PRINCIPALI NOVITÀ

General Data Protection RegulationEntrerà in vigore il prossimo 25 maggio e riguarderà, di fatto, tutte le aziende che trattano dati dei cittadini europei, indipendentemente dalle loro dimensioni, dal settore di riferimento o dal fatto che abbiano sede in UE. Stiamo parlando del General Data Protection Regulation (GDPR), la nuova normativa comunitaria che sostituisce e raggruppa le precedenti leggi sulla protezione dei dati personali.

 

L’attenzione delle istituzioni sulla tematica è altissima. Lo dimostrano, fra le altre cose, le già alte sanzioni che che potranno raggiungere i 20 milioni di euro o, comunque, un valore pari al 4% del fatturato complessivo dell’impresa inadempiente.

 

L’entrata in vigore del GDPR avrà un grosso impatto sulle aziende in termini di requisiti di tipo sia tecnico che organizzativo. Il rischio di farsi cogliere impreparati è conseguentemente elevato: i principali studi di settore stimano infatti che oltre il 50% delle aziende interessate dal GDPR non sarà del tutto conforme ai requisiti richiesti entro l’entrata in vigore del regolamento.

 

Ecco le principali novità introdotte dalla nuova normativa sulla protezione dei dati personali:

• trattare i dati secondo il principio della Privacy by Design, ossia tutelare i diritti dell’interessato fin dalla fase di ideazione di un sistema a partire dalla scelta dei dati personali, da acquisire limitandosi a quelli veramente necessari;
• eleggere un Data Protection Officer (DPO), vale a dire un Responsabile della Protezione dei Dati che sarà obbligatorio nella Pubblica Amministrazione, nelle aziende private oltre i 250 dipendenti e in quelle che processano dati a rischio;
• rispettare l’obbligo del Data Breach, che consiste nella capacità di segnalare entro 72 ore all’Autorità Garante e all’interessato di eventuali violazioni di dati personali (Articolo 33);
• svolgere il Data Protection Impact Assessment (DPIA), ovvero attuare un piano di valutazione d’impatto sui dati personali in caso di trattamenti delicati e ad alto rischio;
• garantire il diritto alla portabilità dei dati personali, consentendo cioè agli utenti di poter trasferire i propri dati a un altro soggetto;
• avvalersi solo di fornitori in grado di assicurare misure IT e organizzative adeguate al GDPR.

 

Da non sottovalutare, infine, la possibilità di far certificare i propri trattamenti – in misura parziale o totale – anche ai fini di trasferimenti di dati in paesi terzi. La certificazione, oltre che dall’Autorità di protezione dei dati, potrà essere rilasciata anche da un soggetto abilitato.

 

IMPATTO OPERATIVO IN PILLOLE

• Notifica in caso di Data Breach (Art. 33).
• Nomina del Data Protection Officer (DPO)
• Consenso (Art. 5-7, 9)
• Attenzione al trasferimento dei dati in paesi terzi (Art. 44)
• Profiling (Art. 22)
•  & Diritto All’Oblio (Art. 17)
• Responsabilità del titolare del trattamento (Art. 24, 82)
• Pseudoanomizzazione dei dati (Art. 6 [4][e])
• Codice di Condotta & Compliance (Art. 40, 41)
• Condizioni generali per infliggere sanzioni amministrative pecuniarie (Art. 83)
• Identificazione dati non criptati, controllo trattamento dati multi-location e cross nazionale
• Bonifica veloce in caso di Data Breach
• Capacità di produrre elementi digitali probanti in caso di controversia