GDPR, nuovo regolamento europeo sulla privacy: cosa fare

SkoWorks

GDPR General Data Protection Regulation

Nell’epoca della condivisione, il trattamento dei dati personali diviene una questione urgente e delicata, che necessita di nuove e più adeguate normative per il controllo, la protezione e la sicurezza di informazioni sensibili. Come interviene la legge in questo contesto?

La Commissione Europea ha agito approvando il GDPR, acronimo di General Data Protection RegulationRegolamento Generale sulla Protezione dei Dati e sulla loro libera circolazione all’interno dell’UE, il cui testo è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016, è entrato in vigore il 25 maggio del 2016 e inizierà ad avere efficacia il 25 maggio 2018.

Il GDPR prevede una riorganizzazione dei sistemi aziendali e quindi anche dei siti web soprattutto se di ecommerce. Ecco perché è opportuno iniziare a gestire una politica della sicurezza che preveda il backup, la criptazione e la protezione contro malware e hacker. Tutti servizi inclusi all’interno del nostro pacchetto sicurezza.

Quali sono gli obiettivi del GDPR?

Approvando il General Data Protection Regulation, la Commissione Europea risponde a queste esigenze:

  • Tutelare i cittadini permettendo loro di controllare i propri dati personali;
  • semplificare il contesto normativo vigente, rendendo omogenea la normativa in fatto di privacy all’interno dell’UE;
  • rendere più sicura la protezione dei dati personali, in vista delle novità tecnologiche e informatiche intervenute negli ultimi anni;
  • rendere conforme la protezione dei dati personali dei cittadini dell’Unione Europea e dei residenti nell’Unione Europea, sia all’interno che all’esterno dei confini dell’UE;
  • obbligare all’osservanza di legge tutti i titolari del trattamento dei dati personali, anche coloro i quali hanno sede legale fuori dall’Unione Europea.

Cos’è il GDPR?

Il GDPR (nuovo regolamento europeo privacy) è un regolamento europeo di portata generale, ovvero un atto legislativo i cui obblighi sono integralmente e automaticamente vincolanti in tutti gli Stati membri dell’UE dal momento in cui entra in vigore e coinvolge sia le Autorità Pubbliche sia i cittadini.

Il regolamento europeo ha effetti diretti e questo vuol dire che, per godere di efficacia, non richiede un intervento attuativo da parte dei singoli legislatori nazionali. Inoltre, trattandosi di un regolamento dell’Unione Europea, il GDPR ha precedenza attuativa nel caso in cui gli Stati membri abbiano approvato leggi incompatibili o in contrasto con esso, poiché il diritto europeo gode di primariato su quello nazionale.

Chi tutela il GDPR?

Il GDPR si applica ai dati personali dei cittadini (persone fisiche) residenti nell’Unione Europea e, a differenza dell’attuale direttiva, anche a imprese, enti e organizzazioni con sede legale fuori dall’UE che trattano dati personali di residenti nell’Unione Europea.

Web Application FirewallUna questione importante riguarda il fatto che l’obbligo a cui sono sottoposte tali organizzazioni prescinde dal luogo in cui sono collocati i sistemi di archiviazione (storage) e di elaborazione (server) dei dati.

Il GDPR non è applicabile alla gestione di dati personali che siano oggetto di attività per la sicurezza nazionale e per l’ordine pubblico.

Quali dati saranno tutelati: GDPR in sintesi

Rispetto alla precedente normativa comunitaria in vigore, il GDPR amplia la definizione di dati personali tutelati e ne aggiunge nuove tipologie. In particolare, ad essere regolamentati sono:

  • dati personali, ovvero le informazioni relative alla persona fisica identificata o identificabile. L’importante novità introdotta dal Regolamento Generale sulla Protezione dei Dati? Consiste nel criterio di identificazione, poiché l’identificativo oggetto di tutela attiene non più solo al nome e caratteristiche fisiche e fisiologiche della persona, ma anche all’identificativo on line;
  • dati genetici, ereditati o acquisiti, ottenuti dall’analisi di DNA e di RNA da un campione biologico della persona fisica;
  • dati biometrici, come l’immagine facciale, ovvero quei dati che consentono di identificare univocamente una sola persona fisica;
  • dati sulla salute fisica e mentale, non solo quelli attinenti al tempo presente ma anche quelli passati e quelli futuri. Ad essere tutelate sono anche le informazioni relative ai servizi di assistenza sanitaria.

GDPR cosa cambia

Analizziamo i punti essenziali per capire cosa cambia con l’avvento del GDPR in modo da avere una quadro generale sui primi adempimenti.

Il consenso al trattamento dei dati personali

Affinché i dati personali possano essere raccolti, la persona fisica in questione deve esprimere un valido ed esplicito consenso sia per tale raccolta sia per le finalità per cui vengono richiesti.

E se la richiesta è inserita nell’ambito di altre dichiarazioni? Il consenso al trattamento dei dati deve essere formulato distintamente e con un linguaggio semplice e chiaro e le finalità devono essere legittime e pertinenti.

La sicurezza e la violazione dei dati personali

La sicurezza dei dati raccolti è garantita dal titolare e dal responsabile del trattamento dei dati, che sono obbligati ad adottare misure idonee a garantirne sicurezza e protezione adeguate. In particolare, il titolare e il responsabile del trattamento devono garantire che chi abbia accesso ai dati raccolti lo faccia rispettando i poteri da loro conferiti e dopo che sia stato appositamente istruito.

Come fare un cloud backup del sito webIl GDPR, inoltre, prevede che nel caso in cui i dati siano trasferiti verso un paese terzo o un’organizzazione internazionale l’interessato sia immediatamente informato quando sussista una violazione che rappresenta un rischio per i suoi diritti e che leda la sua libertà.

Il titolare del trattamento dei dati ha anche l’obbligo legale di comunicare all’autorità nazionale la fuga di dati personali e di farlo entro 72 ore dal momento in cui ne ha preso conoscenza.

GDPR sanzioni previste

Il Regolamento UE 2016/679 prevede le seguenti sanzioni:

  • un’ammonizione scritta, quando la violazione attiene a una prima mancata osservanza non intenzionale;
  • accertamenti regolari e periodici relativi alla sicurezza e alla protezione dei dati;
  • una multa fino a 10 milioni di euro o fino al 2% del volume d’affari registrato nell’anno precedente nei casi previsti dall’Articolo 83, Paragrafo 4;
  • una multa fino a 20 milioni di euro o fino al 4% del volume d’affari registrato nell’anno precedente nei casi previsti dall’Articolo 83, Paragrafi 5 e 6 del GDPR. 

Cosa accadrà a partire dal 25 maggio 2018?

A partire dal 25 maggio 2018, quando il nuovo regolamento entrerà in vigore, le aziende dovranno essere compliance GDPR perché il regolamento privacy:

  • sostituirà e abrogherà la Direttiva 95/46/EC, ovvero la direttiva istituita nel 1995 per determinare la protezione dei dati personali;
  • abrogherà le norme del Codice per la protezione dei dati personali, approvate con il decreto legislativo n. 196/2003. Ciò potrà generare confusione per alcuni ma si attende una normativa italiana “di raccordo” che metta ordine e inserisca le norme del Codice privacy non incompatibili all’interno dell’impianto normativo del Regolamento;
  • la Direttiva UE 2016/680, legata al GDPR, prevederà un una deroga speciale al trattamento dei dati personali per l’Autorità Giudiziaria e per le forze di Polizia, la cui regolamentazione continuerà ad essere differente e specifica per ogni Stato e sarà oggetto della singola legislazione nazionale.

Per ulteriori informazioni consigliamo di fare sempre riferimento al sito del Garante Privacy dove vengono pubblicati aggiornamenti anche in merito a convegni e incontri oppure di leggere direttamente il testo del GDPR in PDF in italiano.

GDPR software e tools

Al momento per mettersi in regola con il GDPR possiamo solo consigliare di affidarsi a professionisti del settore ed evitare l’acquisto di software tuttofare. Alcune procedure sono ancora in corso di definizione e potrebbero cambiare.

Le nuove funzioni di HVCP: certificato SSL gratuito con Let's EncryptIl GDPR non è solo la compilazione di moduli, la presenza di un registro o la nomina di una persona responsabile della privacy ma la modifica e l’aggiornamento dell’intero sistema aziendale e per ogni ruolo in merito al trattamento dei dati. Seguiranno aggiornamenti…

Infografica: GDPR checklist

La seguente infografica mostra i punti essenziali da soddisfare per essere pronti al GDPR a partire dal 25 maggio 2018. Vengono analizzati nove aspetti determinanti come:

  • la comunicazione;
  • il consenso;
  • l’accesso ai dati;
  • le notifiche e gli avvisi;
  • la cancellazione dei dati;
  • la profilazione;
  • la gestione dei dati sensibili;
  • il marketing;
  • il trasferimento dei dati fuori dall’Unione Europea.

Per ricevere aggiornamenti sul GDPR e sui nuovi articoli pubblicati nel blog, iscriviti alla nostra newsletter!

Related Posts

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *