GDPR: tutto quello c’è da sapere

Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali

GDPR: tutto quello c’è da sapere

Cos’è il GDPR?

IL GDPR è il regolamento generale sulla protezione dei dati personali divenuto pienamente applicabile il 25 maggio 2018.
Il Regolamento UE 679/2016 integra il Codice della Privacy abrogando la direttiva 95/46/CE.
L’obiettivo del regolamento è aumentare la privacy e la protezione delle persone fisiche relativamente al trattamento dei dati personali.
Il GDPR non tutela le persone giuridiche. Le persone giuridiche sono tutelate dalla Direttiva 2002/58/CE per la materia del Marketing (in qualità di «utenti/contraenti»).
Chi è tutelato dal trattamento illecito dei suoi dati personali?  Lo sono: i dipendenti, i clienti, i fornitori, i visitatori, gli utenti web e i passanti (nel caso della videosorveglianza).

Cosa sono i dati personali

I dati personali vengono definiti dal Garante come “informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.”
Con l’evoluzione della tecnologia, hanno assunto particolare importanza anche altri dati: dati legati alla geolocalizzazione, per esempio.
È proprio per questo motivo che si è reso necessario aggiornare la normativa. Questa non veniva modificata da più di 20 anni (dal 1995).

Come adeguarsi

L’adeguamento al nuovo Regolamento Europeo sulla Protezione dei dati personali prevede una serie di attività a capo del Responsabile del Trattamento.
È importante sottolineare come la nuova normativa non impone misure minime di sicurezza o adempimenti specifici ma lascia ai titolari del trattamento la libertà di fare una valutazione dei rischi e di scegliere le misure di sicurezza più adeguate.
L’eliminazione dei vincoli e la libertà d’azione, per le PMI, i liberi professionisti e le aziende,  è un’arma a doppio taglio. Infatti, se l’azienda sbaglia tale assessment o non provvede ad un livello di sicurezza adeguato incorre in sanzioni altissime.

Cosa bisogna valutare durante la fase di assessment?

Il Titolare del Trattamento o i consulenti privacy designati a questo compito dovranno, in questa fase, analizzare tutta la documentazione.Dovranno, quindi, valutare la conformità della documentazione relativa a policy adottate, nomine dei responsabili, clausole contrattuali per il trasferimento dei dati a terzi e misure di sicurezza fisica e logica, ecc. Lo scopo di questa attività è rilevare la conformità e fornire una serie di soluzioni da adottare per essere compliant.

La fase successiva, ovvero quella di adeguamento, prevede la messa in atto delle soluzioni previste durante l’assessment. In particolare, dovranno essere prodotti vari documenti che testimoniano che i vari adempimenti sono stati apportati. Gli adempimenti previsti dal legislatore europeo ed italiano sono, per fare qualche esempio, le informative, le formule consensuali, le nomine, i registri dei trattamenti e il DPIA.

Cos’è il DPIA?
È l’acronimo di Data Protection Impact Assessment. Comprende:

  • attività di analisi dei rischi volta a valutare le vulnerabilità e le minacce degli asset aziendali.
  • linee guida che identificano le contromisure di sicurezza da adottare per gestire il rischio.

 

Dagli art 39.1.b e 32.4 del GDPR si evince chiaramente che si considera la formazione una misura di sicurezza che deve essere obbligatoriamente adottata da tutti i Titolari del Trattamento e Responsabili del Trattamento. L’attività di formazione ha come obiettivo quello di favorire maggiore consapevolezza e conoscenza della materia privacy in azienda.

Due nuovi concetti

Il GDPR ha introdotto due nuovi concetti: Privacy by design e Privacy by default.

Con “Privacy by design” si intende l’obbligo per le aziende di prevedere, fin dall’ideazione di un progetto, i rischi che si possono incontrare per la tutela dei dati personali. L’obiettivo in questa fase è di scegliere, fin da subito, gli strumenti giusti per la tutela.

Con “Privacy by default”, invece, si stabilisce che le aziende dovrebbero trattare solo i dati personali strettamente necessari. Questo significa che devono essere trattati solo per le finalità previste e per un periodo di tempo limitato.

Impatti e sanzioni

Il GDPR coinvolge le aziende interessando persone, processi e tecnologie. Chi non si adegua alla nuova normativa può incorrere in sanzioni severe con multe fino a 20 milioni di euro o del 4% del fatturato globale.

Il titolare dei dati ha l’obbligo legale di comunicare all’autorità nazionale le fughe di dati entro 72 ore. In alcune situazioni, dovranno essere avvertite anche le persone coinvolte.

La figura del DPO

Il GDPR ha anche introdotto la figura del Data Protection Officer. Il Responsabile della Protezione dei dati (DPO) assolve funzioni di vigilanza e consulenza in materia di protezione dei dati personali.
Viene individuato, nei casi previsti dall’articolo 37, dal Titolare del trattamento.
Per conoscere quando è previsto e per chi è obbligatorio, leggi qui.

Gestirlo con un software? Si può!

L’adeguamento al GDPR può essere fatto anche attraverso l’utilizzo di un software. Oggi il mercato offre una serie di software che assistono le aziende e i professionisti a gestire la privacy.
Abbiamo parlato dei vantaggi dell’uso di un software, in questo articolo.