GDPR: tutto quello c’è da sapere
Cos’è il GDPR?
IL GDPR è il regolamento generale sulla protezione dei dati personali divenuto pienamente applicabile il 25 maggio 2018. Il Regolamento UE 679/2016 integra il Codice della Privacy abrogando la direttiva 95/46/CE. L’obiettivo del regolamento è aumentare la privacy e la protezione delle persone fisiche relativamente al trattamento dei dati personali. Il GDPR non tutela le persone giuridiche. Le persone giuridiche sono tutelate dalla Direttiva 2002/58/CE per la materia del Marketing (in qualità di «utenti/contraenti»). Chi è tutelato dal trattamento illecito dei suoi dati personali? Lo sono: i dipendenti, i clienti, i fornitori, i visitatori, gli utenti web e i passanti (nel caso della videosorveglianza).
Cosa sono i dati personali
I dati personali vengono definiti dal Garante come “informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.” Con l’evoluzione della tecnologia, hanno assunto particolare importanza anche altri dati: dati legati alla geolocalizzazione, per esempio. È proprio per questo motivo che si è reso necessario aggiornare la normativa. Questa non veniva modificata da più di 20 anni (dal 1995).
Come adeguarsi
L’adeguamento al nuovo Regolamento Europeo sulla Protezione dei dati personali prevede una serie di attività a capo del Responsabile del Trattamento. È importante sottolineare come la nuova normativa non impone misure minime di sicurezza o adempimenti specifici ma lascia ai titolari del trattamento la libertà di fare una valutazione dei rischi e di scegliere le misure di sicurezza più adeguate. L’eliminazione dei vincoli e la libertà d’azione, per le PMI, i liberi professionisti e le aziende, è un’arma a doppio taglio. Infatti, se l’azienda sbaglia tale assessment o non provvede ad un livello di sicurezza adeguato incorre in sanzioni altissime.
Come gestire gli obblighi del GDPR?
L’adeguamento al GDPR può essere fatto anche attraverso l’utilizzo di un software. Oggi il mercato offre una serie di software che assistono le aziende e i professionisti a gestire la privacy. Noi di AGM Solutions abbiamo pensato a “Privacy Manager” ad una piattaforma che permetta di gestire in modo semplice e intuitivo gli adempimenti previsti dal regolamento europeo.
Cosa bisogna valutare durante la fase di assessment?
Il Titolare del Trattamento o i consulenti privacy designati a questo compito dovranno seguire alcune attività, in ordine:
- Analizzare tutta la documentazione.
- Valutare la conformità della documentazione relativa a policy adottate, nomine dei responsabili, clausole contrattuali per il trasferimento dei dati a terzi e misure di sicurezza fisica e logica, ecc.
- Fornire le soluzioni da adottare per essere compliant.
- Mettere in atto le soluzioni previste durante l’assessment
- Produrre documenti che testimoniano che gli adempimenti sono stati apportati per esempio, le informative, le formule consensuali, le nomine, i registri dei trattamenti e il DPIA.
Cos’è il DPIA?
È l’acronimo di Data Protection Impact Assessment. Comprende:
attività di analisi dei rischi volta a valutare le vulnerabilità e le minacce degli asset aziendali.
linee guida che identificano le contromisure di sicurezza da adottare per gestire il rischio.
Dagli art 39.1.b e 32.4 del GDPR si evince chiaramente che si considera la formazione una misura di sicurezza che deve essere obbligatoriamente adottata da tutti i Titolari del Trattamento e Responsabili del Trattamento. L’attività di formazione ha come obiettivo quello di favorire maggiore consapevolezza e conoscenza della materia privacy in azienda.
DUE NUOVI CONCETTI
Il GDPR ha introdotto due nuovi concetti: Privacy by design e Privacy by default. Con “Privacy by design” si intende l’obbligo per le aziende di prevedere, fin dall’ideazione di un progetto, i rischi che si possono incontrare per la tutela dei dati personali. L’obiettivo in questa fase è di scegliere, fin da subito, gli strumenti giusti per la tutela. Con “Privacy by default”, invece, si stabilisce che le aziende dovrebbero trattare solo i dati personali strettamente necessari. Questo significa che devono essere trattati solo per le finalità previste e per un periodo di tempo limitato.
IMPATTI E SANZIONI
Il GDPR coinvolge le aziende interessando persone, processi e tecnologie. Chi non si adegua alla nuova normativa può incorrere in sanzioni severe con multe fino a 20 milioni di euro o del 4% del fatturato globale. Il titolare dei dati ha l’obbligo legale di comunicare all’autorità nazionale le fughe di dati entro 72 ore. In alcune situazioni, dovranno essere avvertite anche le persone coinvolte.
LA FIGURA DEL DPO
Il GDPR ha anche introdotto la figura del Data Protection Officer. Il Responsabile della Protezione dei dati (DPO) assolve funzioni di vigilanza e consulenza in materia di protezione dei dati personali. Viene individuato, nei casi previsti dall’articolo 37, dal Titolare del trattamento.
Per rispondere all’esigenza di ricorrere DPO abbiamo unito un team di professionisti con competenze specialistiche in grado di affrontare tutti i compiti attribuiti a questa figura. Il “DPO as a service” è un servizio rivolto alle organizzazioni, sia pubbliche che private, che devono individuare il loro DPO.