Top

 (+39) 0532 1915969 - (+39) 0434 1855191

02

Mag 2018

Categoria: Blog
GDPR alcuni punti per avere le idee più chiare

Dal 25 Maggio 2018 entra in vigore il nuovo regolamento europeo GDPR in materia di trattamento dati personali, riguarderà tutti i paesi dell'unione e sarà direttamente esecutivo senza necessità di leggi nazionali, quindi nei 28 paesi dell'unione europea sarà attiva senza differenze.

A chi si applica il GDPR?

La normativa si applica a chiunque tratti i dati dei cittadini europei sia che essi siano in Europa che al di fuori del territorio europeo. Quindi società come Google o Facebook ad esempio, che raccolgono dati, saranno soggette al GDPR a prescindere dal fatto che la loro sede sia in territorio Europeo.

Come cambia l'informativa sulla privacy?

L'informativa della privacy che viene fornita all'utente nel momento in cui i dati vengono raccolti dovrà essere molto semplice e comprensibile, non dovrà quindi avere ad esempio riferimenti normativi. La persona dovrà poter comprendere il testo subito e senza problemi così da poter decidere se aderire al trattamento dei dati. Dovendo quindi capire cosa si sta sottoscrivendo, il consenso dovrà essere riferito a ogni trattamento specifico, indicando bene ogni finalità.

Cosa si intende con Accountability?

Con il termine "Accountability" si intende che bisogna attribuire la responsabilità nel trattamento dei dati a tutti i soggetti che collaborano nella gestione delle stessi, quindi si dovrà documentare che cosa viene fatto quando si trattano i dati per conto dell'azienda nella quale si lavora, le aziende dovranno quindi impostare delle procedure interne ben definite per capire e verificare ogni azione sui dati.

Cos'è il PIA?

Sul piano organizzativo si dovrà realizzare un documento chiamato "Privacy Import Assessment" (PIA) cioè "documento di valutazione di impatto", che consiste in un'analisi del rischio:
si analizza quali dati vengono trattati e quali sono i rischi possibili nella loro gestione, si valuta quindi cosa si può fare per prevenire qualsiasi problema creando una lista di possibili rischi e definendo come poterli risolvere qualora si presentino.

Si dovrà notificare al garante?

Non si dovrà più notificare al garante che una determinata società tratta dei dati personali, adempimento che era obbligatorio fino ad ora, ma bisognerà documentare le tipologie di dati trattati tramite un registro dei trattamenti e il PIA.

Cos'è il DPO?

E' stata creata una nuova figura: il "Data Privacy Officer" (DPO), è il responsabile per la protezione del trattamento dei dati, sottolineiamo che non ha a che fare con il responsabile del trattamento dei dati, è invece una figura interna all'azienda che ha il compito di verificare che il trattamento dei dati sia effettuato in modo corretto, deve predisporre il PIA e deve essere autonomo.
Il DPO viene nominato dal titolare del trattamento e resta in carica per quattro anni, è il referente al quale si può rivolgere il garante quando ha delle informazioni da chiedere sul trattamento dei dati personali svolto dall'azienda.

Chi si deve dotare del DPO?

Articolo 37 del GDPR:
Designazione del responsabile della protezione dei dati.

1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

– Il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali
– Le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
– Le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (dati sensibili) o di dati relativi a condanne penali e a reati (dati giudiziari).

2. Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento.

3. Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.

Ci sono nuovi diritti per le persone?

Sono stati introdotti nuovi diritti a favore delle persone legate ai dati trattati:

  • il diritto all'oblio, l'interessato ha diritto a essere "dimenticato" dall'azienda che detiene i suoi dati, differisce dal tradizionale diritto alla cancellazione dei dati in quanto se viene richiesto, bisognerà eliminare qualsiasi traccia delle informazioni raccolte.
  • il diritto di portabilità,  i dati personali affidati a un'azienda potranno essere trasferiti ad un altro soggetto, un esempio calzante è il numero di telefono che noi possiamo trasferire da un azienda telefonica ad un'altra.

Come ci si comporta con i dati aziendali?

Per il GDPR i dati personali sono differenti dai dati aziendali, quindi ad esempio l'email Questo indirizzo email è protetto dagli spambots. E' necessario abilitare JavaScript per vederlo. è differente da Questo indirizzo email è protetto dagli spambots. E' necessario abilitare JavaScript per vederlo., la prima è un dato personale, la seconda no e quindi non ha le restrizioni dei dati personali.

Se si subisce un attacco come ci si deve comportare?

Se vi è una violazione dei dati (Data Breach Notification) c'è l'obbligo di informare subito le autorità, questa regola che non era prevista in Italia renderà quindi obbligatorio, entro 72 ore da una violazione dei dati, avvertire formalmente il garante e allo stesso tempo informare tutte le persone i cui dati sono presenti nel database. L'azienda si dovrà dotare di meccanismi di monitoraggio e di controllo del database che permettano di rilevare queste violazioni.

I dati hanno una scadenza?

Non proprio, non è stata definito un periodo preciso per detenere i dati, ma il GDPR stabilisce che i dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento e quindi dovranno essere mantenuti il minimo necessario, pertanto va definito nell'informativa privacy per quanto saranno memorizzati.

Cosa si rischia violare il GDPR?

Le multe previste per ora hanno delle sanzioni massime, ma non minime che verrranno definite dal Garante per la protezione dei dati e i giudici. Le sanzioni massime sono:

    Se il soggetto alla sanzione è un’azienda singola, la sanzione massima è di 20 milioni di euro
    Se il soggetto della sanzione fa parte di un gruppo come una multinazionale, la sanzione viene calcolata in base percentuale sul fatturato e arriva fino al 4% del fatturato mondiale

 

 


Iscriviti!

Buongiorno! Iscrivendoti alla newsletter ti terrò informato su tutti gli eventi, webinar e news legate all'IT in Italia!
Niente SPAM solo aggiornamenti mensili o comunque sporadici :)

* campi obbligatori
Privacy *