Il GDPR è uno dei temi più discussi degli ultimi mesi in ambito digital. Manca ancora qualche settimana all’entrata in vigore, giusto il tempo necessario per un ripasso dei punti principali prima dell’adeguamento definitivo delle procedure.
1. Cos’è il GDPR
Il General Data Protection Regulation è un regolamento europeo che armonizza le leggi sulla privacy dei vari stati dell’Unione. Basato sul principio “risk based”, richiede alle aziende di avere un atteggiamento proattivo verso i rischi che comporta il trattamento di dati personali e la prevenzione della loro violazione.
Il GDPR entrerà in vigore il 25 Maggio 2018 e dovrà essere applicato da tutte le aziende con sede nell’UE, ma anche da quelle che, pur avendo sede al di fuori, trattano dati di soggetti che si trovano all’interno della comunità europea.
2. Prevenzione della violazione dei dati
Il regolamento richiede l’adozione di misure di sicurezza proporzionali al rischio di violazione dei dati personali. Fra i requisiti necessari:
- Registro dei Trattamenti
È un documento che permette di tenere traccia delle operazioni effettuate all’interno dell’azienda e censire le banche dati.
- DPIA – Data Protection Impact Assessment
In questo documento si definiscono le necessità e finalità in materia di trattamento di dati personali, i rischi che ne comportano e le misure atte a ridurli.
- Nomina di un DPO – Data Protection Officer
Si tratta di una figura, interna o esterna all’azienda, con la responsabilità di sovrintendere alla gestione dei dati, facendo osservare il Regolamento all’interno dell’azienda. È obbligatoria per alcune aziende, secondo i criteri definiti dal regolamento.
3. Comunicazione sulla gestione dei dati
Ogni operazione che concerne l’utilizzo dei dati di persone fisiche deve ricevere un consenso informato da parte degli utenti, a cui devono essere comunicate in maniera chiara e comprensibile le modalità e le finalità con cui verranno trattate le sue informazioni.
Non solo: il consenso può essere ritirato in qualsiasi momento. Qualsiasi modifica rispetto a quanto comunicato deve essere ulteriormente approvata dall’utente.
I diritti dell’utente comprendono inoltre:
- L’ottenimento di una copia dei dati conservati dall’azienda;
- Diritto all’oblio, ovvero che i propri dati vengano cancellati dall’azienda e da terze parti;
- Cifratura dei dati in possesso dell’azienda.
4. Cosa fare in caso di violazione
I responsabili dei dati devono informare entro 72 ore le autorità di protezione dei dati riguardo ogni violazione che metta a rischio i diritti degli individui e nel più breve tempo possibile tutti gli individui affetti in caso di violazione ad alto rischio. Nella comunicazione ne va precisata la natura, le conseguenze potenziali e i rimedi messi in atto dall’azienda.
5. Quali sono le sanzioni
Le sanzioni per il mancato rispetto del GDPR sono severe: fino a 20 milioni di euro per tutte le aziende fino a 500 milioni di euro di fatturato ed fino al 4% del fatturato mondiale per tutte le altre.
Se hai bisogno di consulenza riguardo alla gestione dei tuoi dati, contattaci. Possiamo fornirti il supporto necessario a preparare i tuoi database, form, e siti web in vista del GDPR.