GDPR, tutto ciò che c’è da sapere per essere in regola

Dal 25 maggio 2018 entrerà in vigore il nuovo GDPR ossia General Data Protection Regulation, relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. Come ha sottolineato l’UE, questa decisione nasce dall’esigenza di offrire maggior certezza giuridica e allo stesso tempo semplificare ma intensificare le norme per la protezione dei dati personali; Inoltre, è anche una risposta all’incessante sviluppo tecnologico che ci impone di adeguarci ai suoi ritmi.

Il secondo fine del GDPR, oltre a quello di creare una nuova privacy, è quello di educare titolari e utenti sull’importanza dei dati personali, sensibilizzandoli quindi a una gestione più responsabile e trasformando l’utente in “garante di sé stesso” offrendo i propri dati solo a chi li offre più garanzie.

Per prepararsi al 25 maggio i titolari di grandi, medie e piccole imprese dovranno revisionare ed aggiornare l’informativa della privacy da fornire agli interessati, dimostrare di aver adottato misure giuridiche, organizzative, tecniche, adeguate per la protezione dei dati personali. Vediamo brevemente alcuni punti salienti utili per capire come prepararsi al nuovo GDPR.

L’informativa. L’informativa dovrà contenere i dati di contatto del Responsabile della protezione dei dati (o anche Dpo, cioè Data protection officer), se designato; la base giuridica del trattamento (per esempio, consenso, legittimo interesse del titolare ed esecuzione di un contratto di cui è parte interessato); se i dati saranno trasferiti extra-UE e attraverso quali strumenti; il periodo di conservazione dei dati o i criteri utilizzati per calcolarlo e l’esistenza di un processo decisionale automatizzato e le logiche su cui è fondato.

Il registro. Il registro del titolare e del Responsabile devono essere due documenti differenti (la compilazione può essere delegata la Dpo), deve essere in forma scritta (anche elettronica) e periodicamente aggiornato. Sono esonerati dal registro le imprese o organizzazioni con meno di 250 dipendenti a meno che non trattino dati particolarmente sensibili o in modo occasionale.

Le sanzioni. Per le violazioni degli obblighi la sanzione prevista può raggiungere un massimo di 10 milioni di euro o fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Le sanzioni possono invece arrivare a 20 milioni di euro o al 4% del fatturato, sempre se superiore, in caso, ad esempio, di violazioni dei principi fondamentali in materia di protezione dei dati personali, dei diritti dell’interessato e per l’inosservanza degli ordini dell’autorità di controllo o degli obblighi emanati dagli Stati membri norma del GDPR.

Il vigilante. Il Dpo ha le funzioni di vigilare sull’applicazione delle leggi sulla privacy da parte del titolare o responsabile del trattamento. Il soggetto che ricoprirà questo ruolo potrà essere sia interno sia esterno all’azienda.

Data breach. Per Data breach s’intende la violazione di sicurezza che comporta la distruzione, la perdita, la modifica o la divulgazione non autorizzata dei dati. In caso si presentasse un caso di Data breach il titolare è tenuto a comunicarlo al Garante privacy entro 72 ore, qualsiasi ritardo dovrà essere giustificato. La comunicazione non è necessaria se il titolare aveva applicato adeguate misure tecniche e organizzative di tutela dei dati o se ha successivamente adottato misure idonee a scongiurare un rischio elevato.

Offerta per le imprese >scarica il pdf<

Offerta per le piccole attività >scarica il pdf<

Richiedi un preventivo
2018-05-16T08:05:00+00:00