Adeguamento al regolamento Europeo al GDPR
Il Regolamento Europeo sulla Protezione dei Dati Personali (GDPR 679/2016),noto anche come GDPR (General Data Protection Regulation), nasce per proteggere il diritto delle persone di controllare l’uso e la circolazione di dati personali che costituiscono il bene primario della società dell’informazione.
Esso è relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.
E’ in vigore dal 25 maggio 2018.
Con questo Regolamento, il Consiglio Europeo, ha raggiunto due obiettivi:
1. L’armonizzazione e l’aggiornamento delle normative privacy in tutta la UE;
2. Definizione di un nuovo approccio delle aziende in materia di protezione dati.
COSA VUOL DIRE ESSERE CONFORMI AL GDPR?
Implementare la responsabilizzazione (principio di Accountability) del Titolare del Trattamento.
Cosa devo fare quindi? Devo:
1- Rivedere il modello organizzativo in ottica Privacy
2- Rivedere i processi di trattamento dei dati e le misure di sicurezza a supporto
3- Formare il personale in ambito GDPR e protezione dei Dati personali
5- Implementare un processo di Miglioramento Continuo
Novità del Regolamento
Le principali nuove misure previste dal GDPR sono:
ACCOUNTABILITY: Il GDPR promuove la RESPONSABILIZZAZIONE (accountability) dei Titolari del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.
TRASPARENZA: Ogni volta che un titolare intende procedere al trattamento dei dati di una categoria di interessati, deve attrezzarsi per fornire loro un informativa completa in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
VALUTAZIONE DI IMPATTO PRIVACY (DPIA): Ogni volta che un titolare intende procedere con una nuova attività di trattamento, deve valutarne il rischio per gli interessati e documentarlo attraverso il documento di DPIA.
DATA BREACH: La violazione dei dati personali che avviene in maniera accidentale o colposa, deve sempre essere valutata dal punto di vista dell’interessato. Qualora questa comporti un impatto con elevato rischio per la persona, deve essere comunicata al Garante ed eventualmente agli interessati.
DIRITTI DEGLI INTERESSATI: Gli interessati devono poter esercitare i propri diritti, ed il titolare del trattamento deve organizzarsi per rendere questa attività semplice.
DATA PROTECTION OFFICER o RESPONSABILE DELLA PROTEZIONE DEI DATI: È la nuova figura introdotta dal GDPR e che ha la funzione di affiancare il titolare del trattamento, gli addetti ed i responsabili del trattamento affinché conservino i dati e gestiscano i rischi seguendo i principi e le indicazioni del Regolamento europeo. Il suo ruolo è doppio, perché non solo consiglia e sorveglia, ma funge anche da tramite fra l’organizzazione e l’autorità di controllo (il Garante della Protezione dei dati).
SANZIONI: Il GDPR ha previsto rilevanti sanzioni di natura amministrativa in caso di violazioni della normativa sulla protezione dei dati personali. Sono di due tipologie:
Fino a 10 milioni di euro o 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore;
Fino a 20 milioni di euro o 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
