gdpr

Cos’ è il GDPR

IL GDPR, acronimo di General Data Protection Regulation , è il nuovo Regolamento UE(2016/679)  per la protezione dei dati personali dei cittadini nell’epoca digitale.

Sostituisce la Direttiva 95/46/EC(tutela delle persone fisiche con riguardo al trattamento dei dati personali e privacy), ed entrerá in vigore effettivo a Maggio 2018.

IL GDPR si pone come obiettivo quello di regolamentare come le aziende elaborano,memorizzano e distruggono i dati personali degli utenti.

Definizione di “dati personali”

Per dati personali si intende: “qualunque informazione relativa a un individuo, collegata alla sua vita privata, professionale o pubblica. Può riguardare qualunque informazione: foto, indirizzi, email, dettagli bancari, social network, informazioni mediche, indirizzi IP di computer, etc.”.

A chi si rivolge

  • Aziende che hanno una presenza fisica in almeno uno Stato dell’ Unione Europea;
  • Aziende straniere che processano o memorizzano dati personali di cittadini europei;
  • Aziende che utilizzano servizi di terze parti che processano o memorizzano dati personali di cittadini europei.

Diritti del  “Cittadino Europeo”

  • Diritto di essere informati (Right to be informed)
  • Diritto di accesso(Right to access)
  • Diritto di rettifica (Right to rectification)
  • Diritto di oblio (Right to erasure or right to be forgotten)
  • Diritto di limitazione (Right to restrict processing)
  • Diritto di portabilitá (Right to data portability)
  • Diritto di opposizione (Right to object)
  • Diritto di divieto all’automatizzazione (Right to automated decision marking and profiling)

Sanzioni

20 mln (20 milioni di Euro)

4% del volume di affari globale

Doveri delle “Aziende”

Entro Maggio 2018 tutte le Aziende che trattano dati personali dovranno essere conformi al nuovo Regolamento adottando soluzioni idonee.

Il regolamento non prescrive specifiche tecnologie.

Novitá “più impattanti”

  • Rispetto del Data Breach. Obbligo di notifica (entro 72 ore) all´autoritá competente e agli utenti interessati in caso di eventuali fughe o compromissioni di dati.
  • Accountability. Dimostrazione con prove documentali della piena conformitá al regolamento.
  • Nomina del Data Protection Officer(non obbligatorio per tutti).

Casi Obbligatori:

    • amministrazioni ed enti pubblici
    • imprese con  250 dipendenti o piú
    • tutti i soggetti la cui attivitá principale consiste in trattamenti che per la loro natura, il loro oggetto o le loro finalità, richiedono un controllo periodico degli interessati oppure se l’ attivitá principale del titolare implicherá un  trattamento su larga scala di dati sensibili, relativi alla salute o alla vita sessuale, genetici, oppure giudiziari e biometrici.
  • Obbligo di trattare i dati secondo una progettazione “by design”(lungo tutto il ciclo di vita) e by default(massima tutela di default nelle configurazioni)

Come prepararsi

  1. Assessmet Obbligatorio: Capire il punto di partenza della tua azienda: quali dati personali vengono detenuti, dove vengono archiviati, perché sono in vostro possesso.
  2. Less is more / Data House  Keeping: Fare pulizia di tutti i dati superflui e/o obsoleti sia nei propri sistemi che in quelli della propria rete di partner e fornitori.
  3. GDPR Responsability: Identificare chi all’ interno, od eventualmente terze parti, è coinvolto nel processo di Data Protection ed entra in contatto con i dati personali.
  4. Security data policies & procedures: Definizione/o aggiornamento di policy e procedure condivise all’interno ed all’esterno dell’azienda per la gestione dei dati personali in conformità alla GDPR.
  5. Training & Communication: Formare coloro che gestiscono i dati personali sui nuovi obblighi di legge e sulle procedure aziendali adottate. E´importante inoltre sensibilizzare in generale tutti i collaboratori, interni ed esterni, sui rischi e sulle procedure da seguire.
  6. Risk Management: Assicurarsi di avere le soluzioni idonee per non violare nessuno dei diritti del cittadino (ad esempio nella convalida dei dati personali quando qualcuno si iscrive ad un sito web o ad una applicazione smart).
  7. Data Breach Recovery Plan: Assicurarsi di possedere tecnologie in grado di identificare eventuali violazioni (Data Breach), porvi rimedio e poterlo dimostrare alle Autoritá competenti entro 72 ore.