Tra undici mesi entrerà in vigore il General Data Protection Regulation (GDPR) con l’obiettivo di rafforzare la protezione dei dati personali e armonizzare le normative in questo settore in tutta l'Unione Europea. Le aziende che gestiscono dati su scala globale dovranno rivedere il ciclo di vita dei dati e mettere in atto processi e tecnologie per prevenire la perdita dei dati e impedirne la condivisione non autorizzata!
Ecco le caratteristiche sostanziali:
- L’applicazione del Regolamento prevede l'applicazione di sanzioni per le organizzazioni non in linea con la normativa. La violazione delle disposizioni è soggetta a sanzioni amministrative pecuniarie fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
-
Il Regolamento sulla protezione dei dati generali sarà applicabile alle organizzazioni situate all'interno dell'Unione Europea ed anche alle organizzazioni extraeuropee nel caso in cui esse offrano beni o servizi a soggetti dell'UE o monitorino i dati personali di questi ultimi.
-
Il GDPR prevede che le richieste di approvazione dovranno rispettare un formato comprensibile e accessibile per l'interessato. Il trattamento dei dati sensibili sarà soggetto al rilascio del consenso in formato esplicito, mentre sarà sufficiente un consenso base per il trattamento dei dati non sensibili.
-
Le imprese potranno far certificare i propri trattamenti da un soggetto abilitato oppure dall’Autorità di Protezione dei dati, anche ai fini di trasferimenti di dati in Paesi terzi. Il titolare del trattamento dovrà ricorrere solo a fornitori in grado di assicurare misure in linea con il GDPR nel caso si renda necessaria l’esternalizzazione del trattamento.
-
Le organizzazioni dovranno occuparsi di salvaguardare il diritto all'oblio: l'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano e il titolare del trattamento ha l'obbligo di cancellare i dati personali nel momento in cui i dati non saranno più necessari rispetto alle finalità per le quali sono stati raccolti. La nuova normativa richiede alle aziende di dichiarare le violazioni dei dati personali alle Autorità di Protezione entro 21-72 ore.
-
Il Regolamento introduce il concetto di privacy by default, secondo il quale il titolare del trattamento deve predisporre misure tecniche predefinite in grado di garantire il rispetto della normativa sulla Privacy secondo un iter preciso. Comporta un processo intrinseco che prevede e disciplina le modalità di acquisizione, trattamento, protezione e diffusione dei dati al fine di tutelare l’impresa.
-
Viene introdotto il concetto di privacy by design, che consiste nel garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un sistema. L’innovazione sta nel fatto che si adottano comportamenti a tutela dei diritti e della libertà degli utenti fin dalla fase progettuale, in linea con la normativa, e ciò permette di prevenire quindi l’insorgere di eventuali problematiche.
-
Il GDPR introduce la figura del Data Protection Officer, ossia il responsabile della protezione dei dati, che ha il compito di osservare e organizzare la gestione del trattamento di dati personali e garantirne la protezione. Il DPO insieme agli altri soggetti del team aziendale dovrà farsi carico di promuovere e sostenere le norme previste dal GDPR. Seguirà un articolo specifico sul ruolo e le responsabilità del DPO.
Il Regolamento Generale sulla Protezione dei Dati rappresenta una opportunità per lo sviluppo delle aziende. L’economia digitale da sempre si basa sulla fiducia che gli utenti ripongono sulla protezione dei loro dati personali: con le opportune policy, pianificazione e formazione del personale, le imprese potranno beneficiare di un maggior credito!
Per saperne di più sul GDPR partecipa al nostro Webinar informativo lunedì 17 luglio ore 11:30!