GDPR: cos'è e come possono le aziende adeguarsi alla normativa
Il GDPR (acronimo di General Data Protection Regulation) è il regolamento generale sulla privacy dell’UE relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Entrerà in vigore in tutti i paesi dell’Unione Europea, inclusa l’Italia, a partire dal 25 maggio 2018. La normativa porterà significative innovazioni non solo per i cittadini, ma anche (e soprattutto) per le aziende, gli enti pubblici, le associazioni ed i liberi professionisti, ovvero persone giuridiche.
Le novità introdotte dal regolamento riguardano il dato personale e qualsiasi informazione che riguardi persone fisiche, o che possono essere identificate indirettamente attraverso un numero o un codice preciso. Il GDPR introduce regole più chiare in materia d’informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’UE e per i casi di Data Breach (violazione di sicurezza che comporta la distruzione, perdita, modifica o divulgazione non autorizzata di dati personali memorizzati).
Chi saranno i beneficiari di tutto questo? I cittadini, ovviamente! Il regolamento codifica il diritto dell’interessato a chiedere ai motori di ricerca di deindicizzare un sito web o i propri dati (diritto all’oblio – art. 17) e il diritto di ottenere la restituzione dei propri dati personali trasmessi precedentemente ad un azienda (diritto alla portabilità – art. 30). Viene introdotto anche il nuovo concetto di Data Breach Notification, ovvero l’obbligo per il titolare del trattamento di notificare la violazione dei dati al Garante entro 72 ore dal momento in cui è venuto a conoscenza del fatto. Con l’entrata in vigore del GDPR viene limitata anche la possibilità di “profilare” (processi automatizzati) gli utenti in modo inconsapevole da parte del titolare del trattamento dati.
Una delle novità più interessanti introdotte dal regolamento riguarda il principio di Accountability. Il principio di responsabilizzazione si ha quando viene chiesto al titolare del trattamento di mettere in atto misure tecniche ed organizzative adeguate a garantire (ed essere in grado di dimostrare) che il trattamento è effettuato secondo il regolamento. Aiutano a dimostrare la conformità alla legge l’adesione ai codici di condotta o ad un meccanismo di certificazione. Non meno importante è l’inserimento dei concetti di privacy by design e privacy by default, che è possibile approfondire cliccando qui.
Il General Data Protection Regulation prevede misure di sicurezza idonee da adottare sulla base di una valutazione dei rischi. Gli adempimenti richiesti al titolare del trattamento sono la valutazione dei rischi inerenti al trattamento e la realizzazione di misure per limitare tali rischi, come ad esempio la cifratura dei dati. Le sanzioni, in caso di violazione delle procedure, saranno inasprite ed applicabili fino al 4% del fatturato annuo globale con importo massimo di 20 milioni di euro.
Per le tantissime aziende che devono ancora iniziare un percorso strutturato e sostenibile di compliance al GDPR, il miglior modo per prepararsi è quello di realizzare fin da subito una strategia vincente per la protezione e la conservazione dei dati che, per garantire la massima efficacia e la continuità del business, dovrebbero includere anche la cifratura.
Questa lotta contro il tempo delle aziende italiane si è scatenata negli ultimi mesi ed è finalizzata alla conformità della normativa entro il 25 maggio 2018. Può trasformarsi in un'incredibile opportunità per le stesse aziende di cavalcare la tecnologia e la digitalizzazione, anche in virtù degli imminenti contributi statali come i voucher per la digitalizzazione delle PMI.
Se vuoi approfondire l’argomento e verificare mediante un test gratuito della durata di 60 secondi se la tua azienda è compliance al GDPR, clicca qui!