Acronimo di General Data Protection Regulation (regolamento europeo privacy), il GDPR entrerà in vigore a decorrere dal 25 Maggio 2018 e servirà a per tutelare la privacy di tutti i cittadini europei e uniformare le diverse regolamentazioni degli stati membri su tale argomento.
Secondo la Commissione Europea, per dati personali si intende ogni tipo di informazione di una persona fisica in relazione alla sua vita privata, professionale o pubblica.
Fra i dati personali ci sono ad esempio: nomi, foto, indirizzi email, informazioni bancarie, attività web o dei social network, informazioni sanitarie, indirizzi ip del pc. In tutti gli stati membri le leggi nazionali in materia di privacy dovranno armonizzarsi con il GDPR al fine di eliminare ogni dubbio per i soggetti tutelati ed i soggetti tutelanti, essendo obiettivo comune quello di poter continuare a trattare certamente i dati personali, ma nel pieno rispetto dei diritti dei soggetti destinatari del trattamento che prestano il loro consenso.
Chi deve preoccuparsi di mettersi in regola con il GDPR?
Tutte le aziende pubbliche e private che raccolgono i dati personali, anche se possiedono sedi e server fuori dal territorio europeo. Sono interessate dal regolamento anche le aziende che fanno business senza transazioni economiche.
Le novità del GDPR rispetto alla “vecchia” legge sulla privacy?
Quali sono i punti focali introdotti dal GDPR?
• Si passa dal concetto di “misure minime” al concetto di “misure adeguate” al trattamento dei dati personali.
• L’informativa sulla privacy deve essere scritta con un linguaggio comprensibile, deve spiegare come i dati vengono trattati e come può essere dato e tolto il relativo consenso.
• Ai cittadini che prestano il consenso al trattamento dei loro dati personali, deve essere garantito il diritto di poterne avere accesso gratuitamente, il diritto di richiederne la cancellazione completa, evitando un’ulteriore propagazione di tali dati, ed il diritto di poterli modificare in ogni momento.
• In caso di violazione dei dati personali, il titolare del trattamento deve notificare l’accaduto entro 72 ore ai rispettivi proprietari.
• È necessario richiedere esplicito consenso se i dati sono trattati o trasferiti fuori dal territorio europeo.
• Tutte le aziende e le amministrazioni pubbliche di grosse dimensioni che trattano grandi archivi di dati devono avere uno specifico responsabile: il DPO (Data protection officer), che può essere una figura interna o esterna.
I costi per le aziende derivanti dal GDPR
Le novità introdotte dal GDPR non lasciano dubbi sull’importanza che la privacy riveste oggi nella vita delle persone. Intrusioni informatiche, e spiacevoli fatti di cronaca che riguardano i dati delle persone, rappresentano un serio problema da affrontare con fermezza. Quando si parla di costi derivanti dall’adeguamento delle imprese italiane al regolamento europeo, bisogna dividere le spese fra burocrazia, formazione e tecnologia.
Quanto costa adeguarsi al regolamento europeo?
Porre la questione in questi termini non è certamente utile allo scopo. Non si tratta di spendere dei soldi a causa di un regolamento europeo, bensì di porre un certo riguardo alla protezione dei dati nel normale svolgimento delle attività lavorative, e sull’implementazione degli strumenti tecnologici giusti. La maggior parte dei costi nelle piccole aziende è dovuto ad un’errata scelta della tecnologia, causata da un approccio sbagliato al problema.
Quanto costa NON adeguarsi al regolamento europeo?
Chi non rispetta il GDPR rischia sanzioni fino a 20 milioni di euro o fino al 4% del fatturato annuale. Viene introdotto il concetto di proporzionalità della sanzione, e questo sottointende il fatto che ci saranno approfonditi controlli non solo sugli adempimenti burocratici, quanto sulle misure adeguate che l’azienda adotta per proteggere i dati personali: formazione del personale e strumenti utilizzati nel trattamento. Il costo di adeguamento è molto piccolo se visto nell’ottica di investire meglio nelle cose che già ci sono in azienda, mentre le sanzioni sono molto alte, per cui non c’è alternativa, bisogna adeguarsi e mantenere la propria azienda aggiornata.
Quali sono i rischi per i dati personali più comuni trovati nelle aziende?
Di seguito un breve elenco dei rischi per la privacy che abbiamo trovato nelle aziende visitate, rischi che necessitano di “misure adeguate” per la protezione dei dati personali. La qualità e la quantità di rischi proposti denotano come generalmente molte aziende non sono interessate alla protezione dei dati personali, sia propri che dei loro clienti.
Informative non a norma (ove presenti). Mancanza di consensi.
Mancato adeguamento dei contratti con i fornitori ed i consulenti esterni.
Assenza di Responsabili del Trattamento dei dati.
Accessi al sistema privi di password complesse.
Noncuranza della privacy da parte degli utenti.
Mancata formazione del personale.
Sistemi di videosorveglianza (1 su 2 non a norma).
Mancanza di controllo di chi accede ai dati all’interno dell’azienda.
Mancanza di registri per gli accessi ai dati.
Mancanza di backup aziendali affidabili e consistenti.
A chi rivolgersi per una consulenza e per gli adeguamenti richiesti dal regolamento?
Occorre effettuare l’analisi dei rischi?
È consigliato un documento che dimostri come l’azienda o l’ente abbia effettuato un’analisi dei rischi e posto in essere le misure necessaria ad impedire violazioni e perdite dei dati trattati. Tale analisi dei rischi dovrà necessariamente trovare riscontro nella pratica, cioè le misure descritte nel documento dovranno essere altresì implementate per ridurre il rischio.
Lo Studio Legale Nappo, in accordo con aziende leader del settore informatico, offre una consulenza completa per mettersi in regola con il GDPR, e propone dove necessario tutte le misure idonee giuridiche ed informatiche ad adeguare la propria situazione aziendale.
Il primo step è quello dell’analisi dei rischi,
il secondo step è quello dell’adeguamento giuridico e quello degli strumenti,
il terzo step è caratterizzato dalla formazione degli utenti e dalle verifiche periodiche.
Nessun commento:
Posta un commento