GDPR-Privacy
nuovo regolamento generale sulla protezione dei dati
sta per entrare in vigore.
Non farti cogliere impreparato!
Che cos’è?
È il nuovo Regolamento Europeo sulla protezione generale dei dati che nasce dalle nuove esigenze in materia di privacy e sicurezza informatica.
Il provvedimento prevede la semplificazione e l’armonizzazione delle norme che regolano il trasferimento dei dati personali dall’UE verso le altre parti del mondo.
L’esigenza di tutela dei dati personali è sempre più avvertita dalle persone, lo sviluppo delle tecnologie e la larga diffusione di quest’ultime hanno contribuito a dare origine ad un contesto che richiede maggiore protezione e soddisfi tale esigenza.
ll GDPR rappresenta un’evoluzione in tema di privacy e protezione dei dati personali che non sarà più solo a livello giuridico, ma assumerà un ruolo economico e strategico nella nuova economia dei dati.
Il regolamento europeo ha effetti diretti e questo vuol dire che, per godere di efficacia, non richiede un intervento attuativo da parte dei singoli legislatori nazionali.
Trattandosi di un regolamento dell’Unione Europea, il GDPR ha precedenza attuativa nel caso in cui gli Stati membri abbiano approvato leggi incompatibili o in contrasto con esso, poiché il diritto europeo gode di primariato su quello nazionale.
I link indispensabili del GDPR 2018:
Regolamento completo GDPR
Garante Protezione Dati personali
Iniziative Formative Garante
Canale istituzionale Garante
Chi viene tutelato dal GDPR?
Il GDPR viene applicato ai dati personali dei cittadini residenti nell’Unione Europea, si differenzia dalla legge attuale in quanto andrà a regolare anche le Imprese, enti e organizzazioni con sede all’estero che trattano dati personali di cittadini residenti all’interno dell’unione europea.
L’obbligo a cui sono sottoposte le organizzazioni prescinde dal luogo in cui sono allocati i sistemi di archiviazione e di elaborazione dei dati
Come cambia il regolamento sulla protezione dei dati e come adeguarsi
In estrema sintesi con il GDPR:
► Regole più chiare su informativa e consenso
► Definizione dei limiti al trattamento dei dati personali
► Nuove basi per l’esercizio di nuovi diritti
► Definizione e regolamentazione di criteri rigorosi per il trasferimento e utilizzo dei dati al di fuori dell’Unione Europea
► Nuove rigorose norme per i casi di violazione dei Data Breach
Le norme verranno applicate alle imprese situate al di fuori dell’UE che offrono servizi e prodotti all’interno del mercato europeo.
Le aziende indifferentemente da dove stabilite, dovranno quindi rispettare le nuove regole introdotte.
Imprese ed Enti rischiano pesanti sanzioni.
Sportello unico
L’introduzione dello sportello unico semplificherà la gestione dei trattamenti e garantirà un approccio uniforme
Le imprese operanti in ambito UE, potranno rivolgersi al Garante della Privacy del paese dove hanno la loro sede principale.
In Italia è stato stimato che oltre il 50% delle aziende e molte pubbliche amministrazioni non sono ancora pronte ad allinearsi ai nuovi provvedimenti UE nonostante le severe sanzioni previste.
Con il Piano Industria 4.0 sarà possibile investire per avviare l’adeguamento al GDPR, mentre per quanto riguarda le Pubbliche Amministrazioni sono state emanate dal garante indicazioni precise.
Le priorità operative sono tre:
► Designazione del Responsabile della protezione dei dati
► Istituzione del Registro di attività di trattamento
► Notifica dei Data Breach
Portabilità
Introduzione del diritto alla portabilità e trasferimento
La norma introduce un nuovo concetto sulla proprietà dei dati : il diritto alla portabilità, ovvero, il trasferimento degli stessi da un titolare all’altro.
Tuttavia, la norma fa un’eccezione per i casi di interesse pubblico, come, ad esempio le Anagrafi.
È inoltre vietato il trasferimento di dati personali verso Paesi extra UE ed organizzazioni internazionali che non soddisfano gli standard di sicurezza in materia di tutela.
Accountability
Introduzione del Principio di responsabilizzazione
L’introduzione del Principio di responsabilizzazione consentirà il passaggio semplificato da un provider all’altro di servizi e ne agevolerà la creazione in linea con la definizione di Mercato Unico Digitale
Un approccio che differenzia i rischi a seconda della tipologia dei dati trattati prevede diversi diritti e libertà per gli interessati.
Data Breach
Disposizioni in fatto di violazione dei dati ed azioni da intraprendere in caso di Data Breach
La disposizione recita: “Il titolare del trattamento dati dovrà comunicare eventuali violazioni al Garante”.
Affrontare un Data Breach richiede un intervento efficace con un approccio multidisciplinare ed integrato.
Sebbene l’attuale procedura presenti numerose falle che verranno corrette con l’introduzione delle nuove norme, di certo il primo provvedimento che le aziende dovranno prendere sarà l’introduzione del Registro di trattamento dati personali. Per fare ciò, ancor prima dovranno comprendere l’effettivo valore e l’importanza dei dati, oltre agli ingenti danni economici che potrebbero conseguire ad una perdita di informazione qualora la violazione rappresentasse una minaccia per i diritti e le libertà delle persone coinvolte.
Le azioni intraprese possono essere:
►Informare in modo chiaro, semplice ed immediato tutti gli interessati ed offrire indicazioni su come si intende limitare i danni.
Si può altresì decidere di non informare gli interessati se si ritiene che la violazione non comporti rischi elevati per i loro diritti, oppure qualora si dimostrasse di avere già adottato misure di sicurezza.
Nel caso in cui lo sforzo per informare tutti gli utenti sia sproporzionato rispetto al rischio reale, è prevista la possibilità di provvedere con una comunicazione pubblica.
► L’ Autorità Garante può comunque imporre al titolare del trattamento dati di informare gli interessati sulla base di una propria valutazione dei rischi della violazione.
Sanzioni e responsabilità per le aziende
Il nuovo regolamento prevede diversi tipi di sanzione e
si va dalla mera sanzione amministrativa, fino a sanzioni che possono raggiungere un massimo di 20 milioni di euro.
DPO
La figura del Data Protection Officer
La figura del “Responsabile della protezione dei dati”, è stata creata per assicurare la corretta gestione dei dati personali in Enti pubblici e Imprese.
Deve essere scelto in base alle qualità professionali e della conoscenza specialistica della normartiva e della prassi in materia di protezione dati.
L’introduzione di questa figura viene resa obbligatoria per Enti ed Imprese che trattano dati.
Il Responsabile della protezione dati:
► Riferisce direttamente ai vertici
► Non riceve istruzioni per l’esecuzione dei suoi compiti ed è completamente indipendente
► Gli devono essere attribuite risorse umane e finanziarie adeguate alla mission
Il DPO è una figura rilevante, ma non deve essere posto al centro del nuovo sistema posso in essere dal nuovo GDPR, in quanto la figura più importante rimane il Titolare del trattamento dei dati.
Il DPO avrà una specifica competenza della normativa e della prassi in materia di dati personali nonchè delle norme e delle procedure amministrative che caratterizzano il settore.
Sarà importante che abbia una qualità professionale adeguata alla complessità del compito che svolgerà, specialmente in riferimento a settori sensibili come per esmempio quello della sanità e dovrà dimostrare competenze specifiche rispetto al tipo di trattamento dati posto in essere al titolare.
L’autonomia decisionale e l’estraneità della figura del DPO è fondamentale per garantire il rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati per restituire agli interessati quella sovranità sulla circolazione dei propri dati, obiettivo principale del GDPR.
Adeguare la PA al GDPR
Per le pubbliche amministrazioni è prioritario definire l’ufficio che si occuperà stabilmente delle GDPR e definire il DPO (responsabile al trattamento dei dati) la trasparenza del responsabile del trattamento dati e altre misure.
Privacy e Trasparenza
Il GDPR andrà ad aprire una nuova pagina sul tema del rapporto tra privacy e trasparenza, anche rispetto alle attività dei soggetti privati che svolgono attività di pubblico interesse.
Il regolamento non modificherà direttamente le regole nazionali in materia di accesso ai documenti amministrativi ne quelle delle disposizioni europee.
Il GDPR andrà a riempire l’assenza di un rapporto di contraddizione, in quanto valori di “trasparenza” e di “tutela efficace della riservatezza”.
GDPR e diritto all’oblio
L’articolo 17 regola il diritto all’oblio, una delle novità più importanti che verranno introdotte.
Gli utenti potranno cancellare dal web i dati e i link
Analisi del rischio
Cos’è e come si crea, il nuovo strumento Data Protection Impact Assessment (DPIA)
Una delle introduzioni del GDPR sarà il Data Protection Impact Assessment (DPIA) ovvero il documento di valutazione di impatto nel trattamento dei dati.
Una vera e propria analisi dei rischi concreti generati dal trattamento dei dati aziendali.
Chi raccoglie i dati dovrà creare una valutazione degli impatti fin dai primi momenti della progettazione del processo aziendale e degli applicativi informatici di supporto, in particolare nei casi in cui il trattamento dei dati possa creare rischi per i diritti e le libertà degli interessati.
Il processo prevede fasi distinte:
► Analisi dei rischi
► Definizione della lista delle criticità
► Definizione del programma di intervento
Le probabilità e la gravità del rischio verrà stabilito in base alla natura del campo di applicazione, del contesto e delle finalità del trattamento dei dati personali.
Con il documento viene introdotto uno strumento che mira ad un’analisi completa dei processi aziendali volta a gestire i rischi prevedendoli.
Articoli recenti
Formazione Degli Utenti
Leggi Tutto