GDPR: i punti chiave del nuovo regolamento Europeo sulla protezione dei dati


Il Regolamento Europeo in materia di protezione dei dati personali (GDPR n. 2016/679), pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016, insieme alla Direttiva in materia di trattamento dati personali nei settori di prevenzione, contrasto e repressione dei crimini, compongono il “Pacchetto protezione dati”, ovvero l’insieme normativo che definisce un nuovo quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell’Unione Europea.


Per permettere ai Garanti Privacy Nazionali di adottare gli atti e i regolamenti che rendono pienamente operativa la disciplina e per garantire un adeguato periodo di tempo per l’adeguamento agli obblighi in esso contenuti, il regolamento sarà integralmente e direttamente applicabile (sanzioni e controlli compresi) a partire dal 25 maggio 2018.


ll Regolamento si applica ai titolari e/o ai responsabili del trattamento dei dati personali, aventi uno stabilimento all’interno dell’Unione Europea, indipendentemente dal fatto che il trattamento sia effettuato nella stessa UE.


Il GDPR rappresenta una discontinuità importante rispetto all’attuale normativa, sia in termini di approccio (basato sul rischio e improntato ai principi di Privacy by Design e Privacy by Default), sia, soprattutto, in termini di responsabilizzazione dei Titolari del trattamento (Accountability), trasformando radicalmente l’approccio alla privacy che le imprese devono avere.
Infatti il principio base è quello della responsabilizzazione, in primo luogo, del titolare del trattamento (cioè l’impresa e chi la rappresenta e colui al quale è demandata la relativa funzione), cui la legge chiede di:


- ATTUARE misure tecnologiche ed organizzative di prevenzione del rischio adeguate
- DIMOSTRARE la conformità del trattamento al GDPR e l’efficacia delle misure attuate


Gli strumenti per garantire e dimostrare questa conformità possono essere i più diversi; non bastano solo adempimenti formali, ma il titolare deve scegliere strumenti realmente efficaci per rispettare le norme, tenendo conto della propria concreta realtà aziendale.


L’adeguamento pertanto richiede l’adozione di nuove soluzioni tecniche, coinvolge gli aspetti organizzativi, e, in generale, comporta un nuovo modo di operare e di affrontare le responsabilità connesse alla protezione dei dati, anche sviluppando in ogni area aziendale nuove competenze e professionalità.


Tra le principali novità del regolamento:

  • Applicazione anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o sevizi a cittadini UE o tali da comportare il monitoraggio dei comportamenti di cittadini UE.
  • Obbligo di trattare i dati secondo la progettazione “by design” (le misure di protezione dei dati debbano essere pianificate con le relative applicazioni informatiche di supporto a partire dalla progettazione dei processi aziendali) e “by default” (cioè il partire da configurazioni “chiuse” dei sistemi informatici, ovvero impostazioni predefinite che garantiscono il maggior rispetto della privacy, affinché i dati personali non siano resi accessibili ad un numero indefinito di persone senza l’intervento umano, per poi gradualmente ampliarle solo dopo avere valutato l’impatto di eventuali aperture).
  • Introduzione della figura del Data Protection Officer (DPO), che sarà obbligatorio nella Pubblica Amministrazione e nelle aziende private che processano dati a rischio e avrà il compito di vigilare sui processi interni alla struttura e di fungere da consulente.
  • Obbligo di svolgere il Data Protection Impact Assessment (DPIA), per i trattamenti delicati e ad alto rischio.
  •  
  • Obbligo di rispettare il “Data breach”, cioè la segnalazione al Garante e all’interessato di eventuali fughe o compromissioni di dati.
  • Nascita della procedura di “Prior consultation”, cioè la presentazione di una istanza al Garante qualora il DPIA non produca risultati positivi.
  • Nascita del Registro delle attività di trattamento, sia per il Responsabile che per l’Incaricato, dove vanno conservate numerose informazioni sul trattamento.
  • Pseudonimizzazione e la dei dati personali, ovvero il principio per cui le informazioni di profilazione debbano essere conservate in una forma che impedisce l’identificazione dell’utente.

L’eventuale violazione del Regolamento causa l’attivazione di un impianto sanzionatorio estremamente rafforzato rispetto alla disciplina previgente: fino a 20 milioni di euro e al 4% del fatturato annuo di gruppo.

 

Sistema offre una gamma completa di servizi progettati per aiutare le aziende ad essere preparate e conformi di fronte ai nuovi obblighi e requisiti imposti dalla normativa

 

Contattaci per saperne di più e per ricevere una consulenza

I cookie ci aiutano a fornire i nostri servizi. Utilizzando tali servizi, accetti il nostro utilizzo dei cookie. Maggiori informazioni   Ok
Vende.rete