GDPR, cosa comporta la nuova norma per il trattamento dei dati
NOTIZIA

GDPR, cosa comporta la nuova norma per il trattamento dei dati

Il GDPR è il nuovo Regolamento Generale sulla Protezione dei Dati che mira a rafforzare e rendere omogeneo il trattamento dei dati personali dei cittadini e residenti dell’Unione Europea, all’interno ed all’esterno dei confini dell’Unione Europea. Il Testo è entrato in vigore il 25 maggio 2016 ma avrà efficacia anche in Italia a partire dal 25 maggio 2018. Questo comporta una serie di nuovi obblighi a carico delle aziende in materia di privacy.

Cosa è la GDPR?

La Gdpr è un regolamento emesso dalla UE che prova a uniformare le leggi europee sul trattamento dati e il diritto a essere in pieno controllo delle informazioni che ci riguardano. Il regolamento ha 99 articoli e istituisce alcune novità come il diritto all’oblio (gli utenti possono chiedere di rimuovere informazioni a proprio riguardo), la «portabilità» dei dati (si possono scaricare e trasferire dati da una piattaforma all’altra, senza vincolarsi a un certo account) e l’obbligo di notifica in caso di data breach (le aziende, se subiscono fughe di informazioni sensibili, devono comunicarlo entro 72 ore). I destinatari sono i «titolari del trattamento», ossia chi gestisce le informazioni: privati e, soprattutto, aziende.

Cosa comporta per le aziende?

La Gdpr riguarda le aziende che gestiscono qualsiasi tipo di dato personale. Dalle informazioni sui propri dipendenti alla profilatura dei clienti per conto terzi. La Gdpr coinvolge tutte le aziende che trattatano dati, il che può significare le informazioni in mano alle risorse umane sul proprio organico o l’analisi di dati per attività di marketing “targettizzato”, mirato su misura a seconda del cliente.

Che obblighi comporta?

Fra gli obblighi del GDPR da tenere in considerazione, c’è soprattutto la richiesta di consenso in forma chiara (articolo 7), l’istituzione di un registro delle attività (articolo 30), la notifica delle violazioni entro 72 ore (articolo 33) e la designazione di un «responsabile protezione dati» (articolo 37). Per quanto riguarda il consenso, l’azienda deve chiedere il via libera in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro (al contrario delle vecchie e chilometriche informative). Sul fronte del registro di trattamento, si obbligano i titolari a dotarsi di un registro delle attività dove si elencano – tra le altre cose – le finalità dell’elaborazione dei dati, i destinatari, l’eventuale scadenza per la loro cancellazione.

In caso di data breach, la violazione dei propri dati, scattano obblighi di notifica alle autorità molto stringenti: il titolare deve comunicare l’accaduto entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Infine si va a ufficializzare il data protection officer, assunto tra i dipendenti dell’azienda o presso una società esterna con il ruolo di vigilare sull’applicazione effettiva della Gdpr da parte del suo titolare.

Cosa accade se si viola la norma?

Se si viola il GDPR, scattano delle sanzioni molto salate. A seconda della gravità dell’infrazione, le multe sono divise in due fasce: fino a un massimo di 10 milioni di euro o, per le imprese, il 2% del fatturato (se superiore); oppure fino a un massimo di 20 milioni o il 4% del turnover, sempre per le aziende e sempre in rapporto al giro d’affari. La multa più “leggera” (10 milioni o 2% turnover) viene inflitta per la trasgressione di principi come la privacy by design (mancata protezione dei dati fin dalla progettazione) o la carenza di misure adatte a garantire un buon standard di sicurezza. Quella più pesante (20 milioni o 4% del turnover) arriva in caso di violazione dei principi fondamentali, come la negazione del diritto all’oblio o l’opacità nella richiesta di consenso dei dati.

Qui di seguito il link al PDF del regolamento integrale > http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016R0679&from=IT

Fonte: Sole 24 Ore

We use Cookie. More informations

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi