0 Flares 0 Flares ×

La normativa del GDPR


 

Il “succo” del discorso

Più avanti potrai leggere i riferimenti normativi completi; in queste prime poche righe raccogliamo il “succo” sugli obblighi dettati dal GDPR EU 679/2016 (il nuovo Regolamento Privacy Europeo 2018).

Si debbono adeguare alla normativa tutte le attività che trattano elenchi e database di clienti, fornitori, dipendenti e/o collaboratori, di cui si è in possesso di dati di questo tipo:
  • Dati bancari (IBAN, carte di credito, bancomat, ecc)
  • Dati personali (dati fiscali, stato di famiglia, redditi, esenzioni, ecc)
  • Dati legati all’educazione (voti, pagelle, curricula, certificati, attestati, etc)
  • Dati sanitari (cartelle cliniche, patologie, disabilità, ecc)
  • Dati legali (carichi pendenti, casellario giudiziale, procedimenti civili o penali, ecc)

Inoltre devono adeguarsi alla normativa anche tutti coloro che trattano dati personali di chiunque per vari fini, tra i quali:

  • Marketing
  • Profilazione comportamentali
  • Profilazioni commerciali
  • Solvibilità economica
  • Ecc.

In pratica tutte le Pubbliche Amministrazioni, le Aziende ed i Professionisti che hanno questo tipo di elenchi debbono redigere il GDPR per la valutazione del rischio sui dati in loro possesso.

Il GDPR è quindi una normativa che coinvolge aspetti tecnici, legati all’adeguamento della propria infrastruttura informatica, e aspetti legali, legati alla predisposizione della documentazione e alla formazione del personale.

 


Panoramica sul GDPR

Il Regolamento Generale sulla privacy 2018 (GDPR – General Data Protection Regulation) entrerà in vigore il 25 maggio 2018 in tutti i Paesi membri dell’Unione Europea. Il Regolamento impone obblighi stringenti sul trattamento e la gestione dei dati dei cittadini europei.

Il GDPR è stato adottato dal Parlamento Europeo nell’aprile 2016 dopo quattro anni di dibattiti e trattative. Le disposizioni rafforzano la protezione dei dati, coerentemente con le attuali preoccupazioni sulla privacy, e devono essere rispettate sia dalle aziende con sede nell’Unione Europea sia da quelle che, pur avendo sede al di fuori della UE, elaborano dati dei cittadini di uno Stato membro.

I regolamenti sono stati armonizzati con una serie di leggi che si applicano in tutti i 28 Stati membri. Le violazioni del DGPR comportano pene severe, con multe fino a 20 milioni di euro o del quattro per cento del fatturato globale.

La protezione dei dati e della privacy richiesta dal GDPR presuppone programmi e processi di conformità sostenuti da tutta l’azienda.

Istituire un quadro di valutazione del rischio è la strada giusta per gestire la privacy dei dati e garantire la conformità. L’Information Commissioner’s Office raccomanda di includere una descrizione delle operazioni di elaborazione e le finalità, una valutazione delle richieste del trattamento in relazione allo scopo, una valutazione dei rischi e le misure in vigore per affrontarli.

Viene inoltre introdotta la figura del Responsabile della protezione dei dati, mentre scompaiono alcuni oneri amministrativi come l’obbligo di notificare particolari trattamenti, oppure di sottoporre a verifica preliminare dell’Autorità i trattamenti considerati “a rischio”.

Il titolare potrà far certificare i propri trattamenti, in misura parziale o totale, anche ai fini di trasferimenti di dati in Paesi terzi.

L’adesione ai codici di condotta e la certificazione del trattamento saranno elementi di cui l’Autorità dovrà tenere conto, per esempio, nell’applicare eventuali sanzioni o nell’analizzare la correttezza di una valutazione di impatto effettuata dal titolare.

Il Gdpr evidenzia come le policy relative alla tutela dei dati personali debbano essere proporzionate alla tipologia di trattamento.

In pratica, le aziende il cui core business sia basato su attività esclusivamente produttive per conto terzi potranno avere un minor impatto a livello privacy, mentre potrà essere particolarmente elevata l’attenzione da parte di quei soggetti che hanno rapporti con i consumatori finali, che effettuano attività di marketing, che trattano dati di natura sanitaria, di natura personale o di servizi consulenziali.

I dati oggetto di trattamento soggetti alle norme del GDPR sono, per esempio:

  • dati per la gestione delle buste paga
  • dati di dipendenti, fornitori, clienti
  • dati fiscali personali o aziendali
  • dati commerciali collegati a persone fisiche o giuridiche
  • dati custoditi in backup su server di un fornitore terzo
  • dati personali come ad esempio quelli contenuti dei registri scolastici, negli archivi delle segreterie scolastiche e utilizzati dai servizi degli Istituti Scolastici

Nel caso di eventuali violazioni dei dati personali (data breach), il titolare del trattamento può dover notificare l’accaduto sia all’Autorità competente sia all’interessato qualora la violazione potrebbe comportare un rischio elevato per diritti e libertà.

Istituire un quadro di valutazione del rischio è la strada giusta per gestire la privacy dei dati e garantire la conformità. L’Information Commissioner’s Office raccomanda di includere una descrizione delle operazioni di elaborazione e le finalità, una valutazione delle richieste del trattamento in relazione allo scopo, una valutazione dei rischi e le misure in vigore per affrontarli.
 


Il testo della normativa

A questo link è possibile scaricare il testo completo originale in PDF della normativa GDPR: EU GDPR 679/2016

 

 
 

Per ulteriori informazioni o per un preventivo gratuito, contattaci senza impegno

 
 

[contact-form-7 404 "Not Found"]