GDPR, la tua azienda è pronta al cambiamento?

Il prossimo 25 Maggio, il Regolamento Generale sulla Protezione dei Dati (GDPR) sarà direttamente applicabile in tutti gli Stati membri del Regolamento UE 2016/679. Attraverso l’adozione di questo regolamento, la Commissione Europea mira a rafforzare la protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. Nonostante manchi poco all’entrata in vigore della legge, molte imprese sembrano essere disorientate e non riescono ad identificare i dati ritenuti sensibili e le eventuali sanzioni applicabili in caso di non conformità. Proviamo a capire insieme cosa prevede la legge e quali sono gli obblighi per le imprese.

Che cosa s’intende per “dati personali”?

I dati personali sono qualunque informazione relativa ad un individuo, sia essa collegata alla sua vita privata, professionale e pubblica.

A chi si applica?

Sono soggette al rispetto del Regolamento le imprese con sede nei Paesi dell’Unione Europea e le imprese estere che intrattengono attività commerciali con i Paesi dell’UE. Ogni impresa risponderà dei propri illeciti all’autorità sovraintendente del Paese in cui si svolge la propria attività economica o, nel caso di aziende con più sedi, in cui è situato lo “stabilimento principale”.

Cosa cambia?

La legge stabilisce che:

  • La protezione dei dati deve obbligatoriamente entrare a far parte dei processi di sviluppo dei processi aziendali per prodotti e servizi (Protezione dei dati by design).
  • Nei casi in cui si verifichino dei rischi specifici per la tutela dei diritti e delle libertà del cliente, devono essere effettuate delle valutazioni dell’impatto della protezione dei dati.
  • La richiesta di consenso al trattamento dei dati deve essere formulata con un linguaggio semplice e chiaro. Condizione necessaria perché un consenso sia valido è che le finalità per cui viene richiesto siano esplicite, legittime, adeguate e pertinenti.
  • Si introduce l’obbligo di nomina di un Data Protection Officer (DPO), ossia un incaricato alla protezione dei dati. Il DPO sarà responsabile del controllo sulla conformità con il GDPR, e sarà il punto di contatto per le richieste da parte delle autorità nazionali per la protezione dei dati e le persone.
  • Deve essere garantita la portabilità dei dati. Una persona deve essere in grado di trasferire i propri dati personali da un sistema di elaborazione elettronico ad un altro senza impedimenti da parte del controllore.
  • Nel caso in cui vi sia una violazione dei dati, il titolare legale dei dati ha a disposizione 72 ore per informare l’autorità nazionale della fuga di informazioni.
  • Vengono introdotti il diritto di contestazione delle decisioni automatizzate e il diritto all’oblio. Quali sono le sanzioni previste dal regolamento? In caso di inadempienza l’azienda potrebbe ricevere multe fino a 20 milioni di euro oppure ad un importo massimo pari al 4% del fatturato globale.

 

Cosa fare per adeguarsi al GDPR?

  1. Sensibilizzare: Aumentare la conoscenza del GDPR all’interno dell’azienda.
  2. Effettuare una mappatura dei dati: Analizzare i propri sistemi di protezione dei dati sensibili, verificare se sono in linea con le direttive europee ed individuare eventuali falle.
  3. Stabilire un piano d’intervento: Coinvolgere i dipendenti che si occupano della tutela delle informazioni e dei sistemi informatici al fine di creare un piano d’azione efficace.
  4. Agire e attuare quanto pianificato. 
  5. Effettuare analisi di controllo e attività di miglioramento del sistema continue.