Requisiti, scadenze e fatti del regolamento generale sulla protezione dei dati (GDPR), Reg. UE 679/2016
Il GDPR (Reg. UE no. 679 del 2016) è la nuova disciplina che impone alle aziende di proteggere i dati personali e la privacy dei cittadini dell’UE per le transazioni che avvengono all’interno degli stati membri dell’UE. La non conformità potrebbe costare cara alle aziende. Ecco cosa ogni azienda deve sapere e fare.
Le aziende che raccolgono dati sui cittadini nei paesi dell’Unione Europea (UE) dovranno conformarsi a nuove e rigorose regole sulla protezione dei dati dei clienti, fornitori, personale e terze parti entro il 25 Maggio 2018. Il Regolamento generale sulla protezione dei dati (GDPR) stabilisce un nuovo standard per i diritti dei consumatori e di tutti coloro i quali, a vario titolo, sono registrati negli archivi delle imprese di ogni ordine, genere e grado e a qualunque settore appartengano.
La conformità causerà alcune preoccupazioni e nuove aspettative nei team di sicurezza. Ad esempio, il GDPR ha una visione ampia di ciò che costituisce l’informazione di identificazione personale. Le aziende avranno bisogno di mettere al sicuro anche l’indirizzo IP di un utente o i dati dei cookie allo stesso modo che il nome, indirizzo, codice fiscale, etc.
Un punto di estrema attenzione è dovuto al fatto che il GDPR lascia molto all’interpretazione. Il testo afferma che le aziende devono fornire un “ragionevole” livello di protezione dei dati personali, ad esempio, ma non definisce ciò che costituisce “ragionevole”. Ciò conferisce all’organo di governo del GDPR un ampio margine di discrezionalità quando si tratta di valutare le multe per violazioni dei dati e inadempienza. In ogni caso, va considerato che: a) i diritti degli utenti sono inviolabili e pertanto possono richiedere cancellazioni, rettifiche etc. in ogni momento e tali richieste devono essere soddisfatte; b) l’azienda è responsabile per danni derivanti da mancata sicurezza dei sistemi, ad esempio furto di dati, divulgazione illegale da parte di hacker etc.
Il tempo stringe per rispettare la scadenza, quindi abbiamo elencato ciò che qualsiasi azienda ha bisogno di sapere sul GDPR, insieme ai consigli per soddisfare le sue esigenze. Molti dei requisiti non riguardano direttamente la sicurezza delle informazioni, ma i processi e le modifiche del sistema necessari per la conformità. Tali processi influiscono sui sistemi e sui protocolli di sicurezza esistenti.
Cosa è il GDPR?
Il Parlamento europeo ha adottato il GDPR nell’aprile 2016, sostituendo una direttiva obsoleta sulla protezione dei dati, direttiva UE del 1995. La nuova disciplina prevede disposizioni che impongono alle imprese di proteggere i dati personali e la privacy dei cittadini dell’UE per le transazioni che avvengono all’interno degli Stati membri dell’UE. Il GDPR regola anche l’esportazione di dati personali al di fuori dell’UE.
Le disposizioni sono coerenti in tutti i 28 Stati membri dell’UE, incluso il Regno Unito, il che significa che le imprese hanno solo uno standard da rispettare all’interno dell’UE. Tuttavia, tale standard è piuttosto elevato e richiederà alla maggior parte delle aziende un investimento consistente per la conformità.
Tale disciplina sta creando non pochi problemi alle piccole e medie aziende Americane, le quali dovranno per forza adeguarsi se vogliono continuare a fare affari con aziende e consumatori in Europa. Ciò che temono maggiormente è di dover essere meno competitivi rispetto alle aziende europee.
Che ciò rappresenti una nuova e insperata opportunità per le aziende nostrane? Molto probabilmente sì se saranno in regola!
Quali aziende riguarda.
Qualsiasi azienda che memorizzi o elabori informazioni personali sui cittadini dell’UE all’interno degli stati dell’UE deve rispettare il GDPR. I criteri specifici per le aziende che devono conformarsi sono:
Presenza in un paese dell’UE.
Nessuna presenza nell’UE, ma elabora i dati personali dei residenti europei.
Dato che il trattamento dei dati influisce sui diritti e le libertà degli interessati, non vi è azienda che sfugga a tale controllo e requisito. Tuttavia, le aziende con meno di 250 dipendenti, o che gestiscono una mole di dati inferiore alle 10.000 registrazioni, hanno meno processi da uniformare e l’impatto è sicuramente più blando rispetto a quelle con oltre 250 dispendenti o con oltre 10.000 registrazioni.
Entro quando è obbligatorio dimostrare la conformità?
Entro il 25 Maggio 2018. I tempi sono stretti, perché ogni azienda ha necessità di regolamentare i propri processi e mettere in sicurezza gli strumenti utilizzati per l’elaborazione secondo schemi e procedure che devono essere personalizzati in base alla specifica realtà aziendale.
Chi all’interno dell’azienda è responsabile della conformità?
Il GDPR definisce diversi ruoli responsabili della conformità: controllore dei dati, responsabile del trattamento dei dati e responsabile della protezione dei dati (DPO). Il responsabile del trattamento definisce come vengono elaborati i dati personali e gli scopi per i quali viene elaborato. Il controllore è anche responsabile di assicurarsi che le aziende esterne con le quali esistono accordi commerciali, ad esempio appaltatori, siano conformi. In mancanza di precise designazioni il titolare dell’azienda e i quadri con incarichi dirigenziali sono sempre responsabili.
In generale, responsabili del trattamento dei dati possono essere i gruppi interni che gestiscono e trattano i record di dati personali o qualsiasi società di outsourcing che svolge tutte o parte di tali attività. Il GDPR ritiene chi processa dati responsabili di violazioni o non conformità. Pertanto, ad esempio, tanto l’azienda che il partner di servizi di elaborazione, società esterna o fornitore di servizi cloud, siano responsabili per le sanzioni, anche se l’errore riguarda solamente il partner esterno. In altre parole, se ho dati sul cloud e non ho posto in essere sistemi di sicurezza per la loro protezione, dovendo verificarsi una perdita di dati, ad esempio furto da parte di hacker, ne rispondo direttamente e solidalmente.
Il GDPR richiede al controllore (controller) e a chi elabora i dati, di designare un DPO (responsabile per la protezione) per supervisionare la strategia di sicurezza dei dati e la conformità GDPR. Soprattutto per chi elabora una grande quantità di dati, o comunque dati sensibili, o si dedicano a ricerche di mercato, marketing, indagini demografiche dove è necessaria la raccolta di dati personali, devono per forza di cose nominare un DPO.
Queste figure, nelle piccole aziende e in quelle dove l’elaborazione dei dati avviene in misura ridotta, possono essere ricoperte da un’unica pesona, ad esempio il titolare e le procedure da mettere in atto non sono così complesse atteso che i criteri e i processi per la conformità siano stati redatti in modo professionale e puntuale.
Cosa succede se l’azienda non è conforme al GDPR?
Il GDPR prevede multe fino a 20 milioni di euro o il 4% del fatturato annuale globale, a seconda di quale sia il più alto, per le non conformità. Sicuramente ogni Stato membro, pertanto anche l’Italia, adotterà una specifica norma nel quale saranno poi indicate le sanzioni in termini più precisi.
Secondo un rapporto di Ovum, il 52% delle aziende teme di essere multata per non conformità. La società di consulenza aziendale Oliver Wyman prevede che l’UE potrebbe incamerare circa 5 miliardi di Euro in multe e sanzioni solamente nel primo anno.
Quali tipi di dati sulla privacy protegge il GDPR?
Informazioni di base sull’identità come nome, indirizzo, telefono, email, codice fiscale, etc.
Dati Web come posizione, indirizzo IP, dati dei cookie e tag RFID
Salute e dati genetici
Dati biometrici
Dati etnici
Opinioni politiche
Orientamento sessuale
Quali requisiti GDPR influenzeranno l’azienda?
I requisiti GDPR costringono le imprese a cambiare il modo in cui elaborano, memorizzano e proteggono i dati personali degli individui. Ad esempio, le aziende potranno memorizzare e trattare i dati personali solo quando il singolo acconsente e per “non più di quanto sia necessario per gli scopi per i quali i dati personali sono trattati”. I dati personali possono anche essere trasferiti da un’impresa ad un’altra (portabilità), e le aziende devono cancellare i dati personali su richiesta.
Quest’ultimo elemento è anche noto come il diritto all’oblio.
Uno dei requisiti impegnativi è che le aziende devono segnalare violazioni dei dati alle autorità di vigilanza e alle persone colpite da una violazione entro 72 ore dalla rilevazione della violazione. Un altro requisito, l’esecuzione di valutazioni di impatto, è inteso a contribuire a ridurre il rischio di violazioni identificando le vulnerabilità e come affrontarle.
Compendio dei diritti protetti dal GDPR
Diritto all’oblio
Il diritto all’oblio si configura come un diritto rafforzato a ottenere la cancellazione dei propri dati. Più precisamente, esso è definito come il diritto di un individuo a non essere più ricordato per fatti che lo riguardano e che siano stati oggetto di cronaca.
Diritto alla portabilità dei dati
a) Ricevere dati personali “in un formato strutturato, di uso comune e leggibile meccanicamente” trattati da un titolare, per mantenerli nella propria disponibilità in vista di un successivo utilizzo personale;
b) Trasmettere i propri dati personali da un titolare a un altro “senza impedimenti”.
Inoltre
Uno dei fondamentali diritti dell’interessato garantiti dal GDPR è il diritto di accesso (art. 15). Il soggetto ha diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano. Nel caso il trattamento sia in essere ha diritto a conoscere:
a) le finalità del trattamento;
b) le categorie di dati personali trattati;
c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare questo periodo;
e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
f) il diritto di proporre reclamo ad un’autorità di controllo;
g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Conclusioni.
Con il preciso scopo di offrire ai clienti un servizio impeccabile che metta al riparo da ogni possibile inadempienza, che sia personalizzato sulle specifiche esigenze dell’azienda e che abbia un impatto minimo sulle pratiche aziendali, ovvero che non costituisca intralcio alla normale gestione, vi invitiamo a contattarci e intanto potete scaricare la nostra brochure informativa cliccando qui
Potete scaricare il Regolamento UE 679/2016 GDPR cliccando qui.
Contattaci per richiedere il servizio