General Data Protection Regulation (GDPR): principi e requisiti

Pubblicato il Pubblicato in Uncategorized

Il Regolamento Generale sulla Protezione dei Dati (GDPRGeneral Data Protection Regulation- Regolamento UE 2016/679) è un regolamento che richiede di proteggere i dati personali e la privacy dei cittadini dell’UE, la cui non conformità potrebbe costare cara alle aziende.

Il GDPR e la ormai prossima versione della Legge Federale svizzera sulla Protezione dei Dati determinano una rivoluzione nell’ambito della protezione dei dati personali, poiché pongono al centro l’individuo e non il trattamento dei dati stessi.

Fino a oggi, in virtù del principio di territorialità, il trattamento dei dati veniva regolamentato dalle normative vigenti nel Paese dove gli stessi venivano trattati. Poteva quindi succedere che un trattamento dati avvenisse al di fuori del Paese di residenza dell’interessato, per cui in qualche modo sfuggiva all’applicazione delle normative del luogo di residenza.

In futuro non sarà più così, grazie alla GDPR in Europa e alla nuova LFPD in  Svizzera.

Le aziende che raccolgono dati sui cittadini nei paesi dell’Unione Europea (UE) dovranno conformarsi a nuove e rigorose regole sulla protezione dei dati entro il 25 maggio 2018. Si ritiene che il GDPR stabilisca un nuovo standard per i diritti dei consumatori in merito ai propri dati, mettendo contemporaneamente a dura prova tutte quelle aziende che dovranno adeguare i propri processi per conformarsi.

Le disposizioni sono coerenti in tutti i 28 Stati membri dell’UE, il che significa che le società hanno solo uno standard da rispettare all’interno dell’Unione Europea. Tuttavia tale standard è piuttosto elevato e richiederà alla maggior parte delle aziende un investimento consistente, sia per uniformarsi alla regolamentazione sia per il mantenimento dei requisiti richiesti dalla stessa.

Quali aziende devono conformarsi al GDPR?

Qualsiasi azienda che memorizzi o elabori informazioni personali sui cittadini dell’UE deve rispettare il GDPR, anche se non ha una presenza commerciale all’interno dell’UE.

Chi all’interno della mia azienda sarà responsabile della conformità?

Il GDPR definisce diversi ruoli responsabili della conformità:

  • il titolare del trattamento dei dati (data controller);
  • il responsabile del trattamento dei dati (data processor);
  • il responsabile della protezione dei dati (data protection officer, DPO).

Il titolare del trattamento definisce come vengono elaborati i dati personali e gli scopi per i quali gli stessi dati vengono elaborati. Esso è anche responsabile di accertare la conformità di eventuali outsourcer o prestatori di servizio esterni.

Il GDPR richiede al controller e al processor di designare un DPO, una figura atta a supervisionare la strategia di sicurezza dei dati e la conformità con il GDPR. Le aziende devono avere un responsabile della protezione dei dati se elaborano o memorizzano grandi quantità di dati sui cittadini dell’UE, elaborano o memorizzano dati personali speciali, controllano regolarmente le persone interessate o sono un’autorità pubblica. Alcuni enti pubblici come le forze dell’ordine possono essere esentati dall’adozione della figura di DPO.

Cosa succede se la mia azienda non è conforme al GDPR?

Il GDPR prevede penali per le non conformità fino a 20 milioni di euro o fino al 4% del fatturato annuale globale dell’azienda, a seconda di quale sia il più alto.

Se prevedi che la tua organizzazione non sia conforme alla scadenza del 25 maggio 2018, non sarà la sola: si stima che circa la metà delle società  che dovrebbero essere conformi non lo sarà per la data richiesta, quantomeno per tutti i requisiti.

Nessuna proroga è prevista e ciò che potrebbe succedere è che le autorità di regolamentazione agiranno rapidamente su alcune aziende che non sono state in grado di conformarsi in tempo.

Quali tipi di dati protegge il GDPR?

  • Informazioni di base sull’identità personale come nome, indirizzo e numeri di identificazione
  • Dati sanitari e genetici
  • Dati biometrici
  • Dati relativi all’etnia
  • Opinioni politiche
  • Orientamento sessuale o religioso
  • Dati Web come geolocalizzazione, indirizzo IP, dati dei cookie e tag RFID

Quali requisiti GDPR influenzeranno la mia azienda?

I requisiti GDPR richiedono alle società di modificare il modo in cui  elaborano, memorizzano e proteggono i dati personali dei clienti, dei propri dipendenti e dei partner commerciali (es. consulenti aziendali). Ad esempio, le società potranno memorizzare e trattare i dati di una persona solo quando questa darà il suo consenso esplicito e per “non più di quanto sia necessario per gli scopi per i quali i dati personali sono trattati”. I dati personali devono anche essere trasferibili da una società all’altra, e le aziende devono essere in grado di poter cancellare i dati di una persona, dietro sua richiesta.

Quest’ultimo elemento è anche noto come diritto all’oblio. Ci sono alcune eccezioni, comunque. Ad esempio, il GDPR non sostituisce alcun requisito legale che imponga a un’organizzazione di mantenere determinati dati.

Diversi requisiti incideranno direttamente sui team di sicurezza. Uno tra i tanti è che le società dovranno essere in grado di fornire un livello “ragionevole” di protezione dati e privacy ai cittadini dell’UE che ne facciano richiesta.

Quello che potrebbe essere un requisito impegnativo è che le aziende dovranno poter segnalare violazioni ai dati da loro gestiti, sia alle autorità di vigilanza che alle persone interessate (intestatarie dei dati) entro 72 ore dalla rilevazione della violazione stessa. Dovranno altresì essere in grado di determinare una valutazione di impatto finalizzato alla riduzione del rischio di violazioni, identificando le eventuali vulnerabilità e affrontandole tempestivamente.

Cosa dovrebbe fare la mia azienda per prepararsi al GDPR?

Advanction SA può aiutarti a rispettare i requisiti della nuova legge sulla protezione dei dati, affiancandoti e supportando la tua organizzazione, con una consulenza mirata, completa e competente, frutto di una profonda esperienza nel settore della protezione dati e della sicurezza delle informazioni,  permettendoti di soddisfare le richieste contenute nel GDPR, senza stravolgere la tua organizzazione aziendale o rallentare i tuoi processi produttivi, con una grande attenzione ai costi.

Un pensiero su “General Data Protection Regulation (GDPR): principi e requisiti

I commenti sono chiusi.