GDPR: tutto quello che c’è da sapere e fare entro il 25 maggio

Il General Data Protection Regulation (GDPR) è il nuovo Regolamento Generale sulla Protezione dei Dati che rafforza e rende più omogeneo il trattamento dei dati personali dei cittadini e residenti dell’Unione Europea, all’interno ed all’esterno dei confini dell’Unione Europea. Entrato in vigore il 25 maggio 2016, avrà efficacia anche in Italia a partire dal 25 maggio 2018. Questo comporta una serie di nuovi obblighi a carico delle aziende in materia di privacy.

Il regolamento si applica ai dati dei residenti nell’Unione Europea. Inoltre, a differenza dell’attuale direttiva, il regolamento si applica anche a imprese ed enti, organizzazioni in generale, con sede legale fuori dall’UE che trattano dati personali di residenti nell’Unione Europea. Ciò anche a prescindere dal luogo o dai luoghi ove sono collocati i sistemi di archiviazione (storage) e di elaborazione (server).

Vengono ampliate e caratterizzate le definizioni sui dati presenti nella corrente direttiva e aggiunte di nuove. Quindi, oltre al dato personale, troviamo dati genetici, biometrici e relativi alla salute, comunque tutte informazioni che consentono l’identificazione univoca o l’autenticazione di una persona fisica.

  • Dato personale: informazioni relative a persona fisica identificata o identificabile. La novità risiede proprio nel criterio di identificazione, dove con “identificativo” si intendono nome, caratteristiche di tipo fisiche o fisiologiche, identificativo on line.
  • Dati genetici: ereditati o acquisiti, ottenuti tramite analisi di DNA ed RNA da un campione biologico della persona fisica in questione.
  • Dati biometrici: come l’immagine facciale, grazie ai quali è possibile identificare una ed una sola persona fisica.
  • Dati sulla salute: sia fisica che mentale, passata, presente o futura, ma anche informazioni su servizi di assistenza sanitaria, laddove presenti, indipendentemente dalla fonte, quale, ad esempio, un medico.

Per l’Italia, che si immette sulla via verso un quadro privacy nazionale coerente con le norme europee, vi sono buone notizie. Recentemente è stato approvato in via preliminare lo schema di decreto legislativo per adeguare il quadro normativo nazionale alle disposizioni del regolamento UE 2016/679 GDPR.
L’adeguamento è necessario per abrogare ufficialmente le norme italiane incompatibili col Regolamento e per definire le nuove norme italiane in materia che il regolamento consente agli Stati membri di regolare (sempre ovviamente nel rispetto dei principi e delle norme del Regolamento stesso).
Al momento lo schema di decreto delegato approvato dovrà essere inviato alle Commissioni parlamentari appena saranno costituite per il parere e al Garante per acquisire il parere della Autorità.

A quali requisiti dovrei pensare?

Il GDPR possiede sette requisiti chiave, di cui i primi sei sono costituiti da:

  • nomina di un Responsabile della protezione dei dati per controllare il rispetto interno di tale principio da parte delle varie funzioni aziendali;
  • esecuzione di valutazioni d’impatto sulla privacy in occasione di attività di trattamento dati ad alto rischio;
  • ricevimento del consenso della persona interessata in merito alle tipologie di dati raccolti e al loro utilizzo;
  • implementazione di trasferimenti transnazionali di dati secondo meccanismi che soddisfino i requisiti di conformità,
  • autorizzazione alla richiesta di cancellazione dei dati personali da parte della persona interessata;
  • possibilità di data portability per soggetti interessati a trasferire i propri dati personali da un sistema di trattamento elettronico a un altro, senza ostacoli da parte del responsabile del trattamento.

Sebbene questo regolamento ponga enfasi sulla conformità nel processo dei dati, esiste un settimo requisito la cui osservanza è imperativa: la notifica degli incidenti. Le aziende porranno ora particolare attenzione alle attività di identificazione e segnalazione di incidenti con violazione dei dati entro 72 ore dalla scoperta. Molti si stanno chiedendo se la propria azienda sia in grado di gestire questo processo e l’impatto che comporta entro i tempi definiti.

La realtà preoccupante per la maggior parte delle aziende è che, in caso di violazione del regolamento, saranno comminate significative sanzioni pecuniarie. Le sanzioni saranno comprese tra il 2 e il 4% del fatturato globale annuo dell’azienda o fino a 20 milioni di euro. Considerata l’entità di questa potenziale punizione, molti membri del direttivo aziendale stanno da tempo considerando la conformità al GDPR una priorità strategica.

Fonti: CMI Magazine –  Agenda Digitale

Commenti chiusi