Il regolamento europeo sul protezione dei dati è entrato in vigore dal maggio 2016 ma dal 25 maggio 2018 scatteranno le sanzioni per chi non si è ancora adeguato

Il GDPR è il nuovo Regolamento Generale sulla Protezione dei Dati che mira a rafforzare e rendere omogeneo il trattamento dei dati personali dei cittadini Europei.

Questo comporta una serie di nuovi obblighi a carico delle aziende in materia di privacy.

  • concetti di Privacy By Desing
  • Account Ability
  • Gestione dei data Breach

Cosa significa?

Che la nuova normativa, dal punto di vista dei soggetti coinvolti (ovvero tutte le aziende che trattano i dati di cittadini europei), rappresenta infatti un’autentica rivoluzione nella gestione delle informazioni, considerato che i principi base sono quelli della privacy by design e dell’uso minimo del dato. Ne consegue che con il GDPR deve cambiare l’approccio da parte del titolare del trattamento dati. Non basta più – come magari si faceva in passato – stilare alcuni documenti dedicati alla privacy, ma occorre dedicarci una particolare attenzione. Con un approccio che deve necessariamente essere proattivo, considerando l’applicazione del GDPR come un investimento cruciale nella propria azienda.

NOI LO SIAMO!

Il regolamento non presenta linee guida da seguire, e non indica misure minime da attuare per rispettare tale regolamento e quindi per non imbattersi in sanzioni.

Il regolamento indica come responsabile dei dati il titolare dell’azienda sempre e comunque, identifica la figura del DPO, ovvero il data protection officer, che coadiuva il titolare del trattamento, nella gestione delle misure di sicurezza da adottare.

Si evince, che per cercare di evitare sanzioni, si dovrà procedere, ad una attenta analisi della struttura esistente, in particolare identificare i dati che l’azienda tratta, e che risultano soggetti a tale regolamento, solo dopo aver individuato il “dato” da proteggere, si studieranno e si adotteranno le tecnologie ed i prodotti idonei a garantirne la sicurezze.

Risulta evidente, che non esiste una soluzione unica che vada bene a prescindere, le necessità di un libero professionista e quindi le soluzioni, non possono di certo essere uguali o comparate alle necessità di una multinazionale.

A questo mira lo studio di una corretta ed adeguata politica di sicurezza aziendale, che oltre a dare protezione e rispetto del regolamento, è attuata per migliorare informatizzazione aziendale, ed di conseguenza anche l’operatività stessa.

Ecco alcuni punti del GDPR da rispettare, in modo che possiate capire quali sono le problematiche da affrontare:

  • Proteggere il dato nel suo intero ciclo di vita, quindi fino alla cancellazione, se ad esempio sostituite un pc, e lo dismettete presso una discarica, anche se magari avete eseguito una formattazione del disco, comunque da quel disco si possono recuperare i dati in esso contenuti, per ovviare e mettersi al riparo da questa problematica, esistono e devono venir utilizzati dei software, che cancellino il disco, dando certificazione valida ai fini gdpr di tale operazione, solo in possesso di tale documento potete cedere o smaltire il disco avendo rispettato la normativa GDPR.
  • Diritto all’oblio, un vostro cliente chiede la cancellazione dei suoi dati in vostro possesso, in 48 ore, dovete aver modo di fornirgli prova idonea di avvenuta cancellazione di tali dati dai vostri database.
  • DataBreach, ovvero qualcuno che si intrufola nella vostra rete aziendale, ma anche solo nel vostro pc, bypassando le misure di sicurezza che devono essere preventivamente adottate per la protezione dell’accesso perimetrale (nessuna rete è inviolabile, in informatica non esiste il “se la mia rete verrà bucata”, ma esiste il “in quanto tempo verrà bucata la mia rete”), in questo scenario, dovete saper fornire al garante la dimensione del danno, ovvero fino a dove si è spinto l’intruso all’interno della vostra rete, e quali e quanti dati ha eventualmente frodato, dato che dovete fornire anche alle persone o fornitori di cui voi trattate i dati sensibili.

PICCOLO MANUALE DI ISTRUZIONI PER IL GDPR

L’attenzione del legislatore europeo è rivolta ai privati, alle aziende e al settore pubblico, e mira a garantire un ambiente dei dati sicuro. Riassumendo, le novità che hanno più attirato gli operatori del settore sono le seguenti:

  • il diritto all’oblio;
  • la portabilità dei dati;
  • l’analisi del rischio e la valutazione dell’impatto sulla privacy;
  • l’informativa più dettagliata con maggiori tutele per l’interessato (nonché, obblighi per i controller);
  • la cosiddetta privacy by design;
  • la nascita del Data Protection Officer.

Il regolamento generale sulla protezione dei dati mira sia a rafforzare il livello della loro protezione per le persone fisiche i cui dati personali sono oggetto di trattamento, sia a migliorare le opportunità per le imprese nel mercato unico digitale attraverso la riduzione di oneri amministrativi.

Il rafforzamento dei diritti di protezione offrirà, sicuramente, un maggiore controllo sui dati personali. Si avranno, infatti, norme più specifiche che consentiranno ai responsabili del trattamento di trattare i dati attraverso l’obbligo di consenso delle persone interessate ed una migliore informazione su quanto accade ai dati personali una volta condivisi. Inoltre, se un giovane di meno di 16 anni desidererà utilizzare servizi in linea, il prestatore dovrà verificare il consenso dei genitori.

Per quanto riguarda le imprese, il regolamento prevede un insieme unico di regole valido in tutta l’UE al fine di evitare situazioni in cui norme nazionali possano ostacolare lo scambio di dati transfrontaliero.
Si creeranno, in questo modo, condizioni di concorrenza leale e le imprese saranno incoraggiate a trarre beneficio dal mercato unico digitale.

Aumenteranno le responsabilità, inoltre, dei responsabili del trattamento dei dati. Le autorità pubbliche e le imprese dovranno designare un responsabile della protezione dei dati incaricato di garantire il rispetto delle norme. Il regolamento, inoltre, mira a proteggere i dati personali trattati ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, inclusa la salvaguardia e la prevenzione di minacce alla sicurezza pubblica.

Sei grandi campi come risk management, privacy by design, la nuova figura del DPO, data breach, servizi IT e profilazione contro anonimizzazione, si incrociano con le sfide organizzative, di budget, tecnologiche e legislative che si dovranno vincere per stare al passo.

Un punto particolarmente interessante è quello che impone, alle realtà che controllanti, obblighi sia di analisi del rischio e di previsione sull’impatto che certi tipi di trattamenti possono avere sulla privacy, sia di creazione di nuove figure professionali quali, ad esempio, il Data Protection Officer che si dovrà occupare di valutare la situazione della privacy e delle misure di sicurezza sia nel pubblico sia nel privato.

Notevole anche l’attenzione posta sulla privacy by design, ovvero, sulla valutazione del livello di privacy di un prodotto o di un servizio già al momento della sua creazione o attivazione così da radicare il principio di protezione dei dati personali nel prodotto o servizio stesso.

Le misure di privacy by design imposte dalla direttiva europea sono impegnative e chi non si adeguerà a tale regolamento e violerà il trattamento dei dati personali dei cittadini rischia multe che possono arrivare al 4% del fatturato o a una cifra massima di 20 milioni di euro.

Dal 2018, dunque, i cittadini potranno affidarsi alle autorità nazionali per il cosiddetto ‘data breache’, ovvero, la notificazione delle violazioni. Quello che possiamo affermare sin d’ora è che tutte le novità apportate dal nuovo regolamento europeo avranno, senza alcun dubbio, effetti pratici su tutti i sistemi informatici dal momento che tutti i soggetti che trattano dati personali, piattaforme web comprese, dovranno occuparsi di minimizzare tali trattamenti garantendo, in modo prioritario ed in misura ancora maggiore di quanto fatto sinora, trasparenza, compatibilità e sicurezza.

Noi ci siamo già attrezzati. Per avere ulteriori informazioni non esitare a contattarci.

Venetoeccellenze.com

segreteria@venetoeccellenze.com

Telefono 041 2330417