GDPR: cos'è e cosa prevede il nuovo Regolamento Europeo sulla Privacy

 

Il 25 maggio 2018 entrerà in vigore il nuovo Regolamento (UE) 2016/679 in materia di Privacy, meglio conosciuto come GDPR.

Al momento, ogni Stato membro dell’Unione Europea ha la propria politica di protezione dei dati personali. Pertanto, il GDPR si è reso necessario per fornire una normativa univoca e valida per tutti i membri, che regolasse l’acquisizione e l’utilizzo di tali dati.

Tutti i soggetti pubblici e privati (anche con sede legale fuori dall’Unione Europea) che trattano qualsiasi tipo di dato personale, saranno quindi chiamati ad adempiere agli obblighi previsti dalla nuova disciplina, che introdurrà nuove responsabilità e regole più precise volte a garantire maggiori misure di sicurezza a protezione dei dati personali.

Cosa cambierà nel concreto per le imprese e soprattutto per quei professionisti che ogni giorno lavorano come intermediari dei propri clienti?
Per quanto riguarda l’Italia, il GDPR andrà a sostituire il D.Lsg. 196/03, noto come “Codice Privacy”, il cui impianto verrà notevolmente ampliato: in sostanza sarà necessario provvedere ad una mappatura dei flussi di dati, ad una valutazione del rischio di perdita dei dati, all’implementazione di procedure per prevenire l’intrusione nei sistemi, e inoltre allo sviluppo di idonei strumenti informatici (software) per la gestione dei dati in conformità alle nuove regole. 

Ecco alcune tra le novità più importanti introdotte dal GDPR:

  • Principio di “Responsabilizzazione” (Accountability): il Titolare del trattamento, ossia chi gestisce i dati (privati e aziende), dovrà attuare e aggiornare periodicamente adeguate misure tecniche ed organizzative, per garantire che le operazioni di trattamento vengano effettuate in conformità al nuovo Regolamento.

  • Trattamento chiaro e specifico dei dati: i modelli di richiesta di consenso al trattamento dei dati personali dovranno essere estremamente semplici e comprensibili. Il consenso, inoltre, dovrà essere esplicito e specifico, cioè dovrà contenere le finalità per le quali è eseguito.  

  • Diritto all’oblio: gli utenti, in presenza di motivazioni legittime, potranno richiedere la cancellazione immediata dei propri dati personali in possesso di soggetti terzi, anche nel caso che questi siano presenti online.

  • Diritto alla portabilità dei dati: gli interessati potranno richiedere il trasferimento dei propri dati personali da una piattaforma all’altra, senza vincolarsi ad un certo account.

  • Obbligo di notifica in caso di violazione dei dati personali (Data Breach): i Titolari del trattamento dei dati in caso di fughe di informazioni sensibili, sono obbligati a comunicarlo entro 72 ore al Garante Privacy.

  • Registri delle attività di trattamento: si dovranno redigere e conservare opportune documentazioni in cui vengano riportate tutte le attività di trattamento dati svolte sotto la responsabilità del Titolare al trattamento o del Responsabile.

  • Designazione del “Responsabile della protezione dei dati” (DPO): una nuova figura deputata a sorvegliare l’osservanza degli obblighi sulla protezione dei dati posti in capo al titolare o al Responsabile del trattamento.

Le sanzioni pecuniarie e penali per chi non si adeguerà nei tempi previsti saranno ben più severe rispetto al passato: in base alla gravità della violazione, le sanzioni potranno arrivare fino a 20 milioni di euro o al 4% del fatturato internazionale annuo lordo.

Heaven può aiutarti nel raggiungimento della conformità GDPR.
Contattaci senza impegno per una consulenza.