Il Regolamento UE 2016/679 o GDPR (General Data Protection Regulation) è la legge sulla protezione dei dati che fornisce ai residenti dell’Unione Europea un maggiore controllo sui loro dati personali e cerca di chiarire le regole e le responsabilità per i servizi online.
Questa legge sostituisce quella precedente dell’UE in materia di protezione dei dati approvata nel 1995 ed apporta alcune modifiche radicali alle convenzioni esistenti.
Il regolamento espande la portata di ciò che le aziende devono considerare come dati personali.
Qualora un individuo dell’UE richiede che una società elimini i propri dati, invii copie dei dati o corregga un errore, le aziende saranno obbligate a conformarsi.
In questo articolo cercheremo di fare un pò di chiarezza e farti comprendere semplicemente quali sono le linee guida per adeguare la tua attività correttamente.
In che modo l’UE farà rispettare il GDPR?
Ogni stato membro dell’UE avrà il proprio meccanismo di applicazione, con un supervisore GDPR per paese.
I residenti possono presentare reclami all’organo di governo nel loro rispettivo paese. Le aziende trovate in violazione della legge dovranno affrontare multe molto salate e dovrebbero essere anche molto ripide. La multa massima per una violazione GDPR è di 20 milioni di euro o il 4% del fatturato globale annuale di un’azienda rispetto all’anno precedente, a seconda di quale sia il più alto.
Quando ha effetto GDPR?
Il GDPR è entrato in vigore dal 28 Maggio 2018, ma ci sono ancora i tempi per riuscire ad adeguare la propria azienda o attività.
Il regolamento è stato ratificato nel 2016 e le organizzazioni hanno ricevuto un “periodo di attuazione” di due anni per la preparazione.
Che tipo di dati protegge il GDPR?
Il regolamento si applica a un’ampia gamma di dati personali, tra cui il nome di una persona, informazioni sulla posizione, gli indirizzi IP, i cookie e altri dati che consentono alle aziende di tenere traccia degli utenti mentre navigano in Internet.
Il GDPR protegge anche le informazioni che mostrano l’attività di una persona sia online, sia nel mondo reale.
Come adeguarsi?
Di seguito i punti fondamentali per adeguarsi correttamente alla nuova regolamentazione. È da chiarire che il GDPR incide su tutte le aziende, sia online che offline.
Informazioni in tuo possesso
La tua azienda deve condurre un controllo delle informazioni per mappare i flussi di dati.
Base legale per il trattamento dei dati personali
La tua azienda deve identificare le basi legali per l’elaborazione e la documentazione dei dati dei clienti/ utenti in possesso.
Consenso
La tua attività deve esaminare il modo in cui chiede e registra il consenso.
Interessi legittimi
Se si fa affidamento su interessi legittimi come base legale per l’elaborazione, la tua azienda deve dimostrare di aver pienamente considerato e protetto i diritti e gli interessi dell’individuo.
Diritti degli individui
Gli individui hanno il diritto di essere informati, comprese le informazioni sulla privacy.
Diritto di accesso
Diritto di rettifica e qualità dei dati
Diritto all’oblio
Questo diritto si configura come diritto alla cancellazione dei dati personali. Le persone interessate potranno esigere la cancellazione dei propri dati personali da parte del titolare del trattamento, sul quale ricade l’obbligo di attivarsi senza ritardo.
Diritto alla portabilità dei dati
Sicurezza dei dati, trasferimenti internazionali e violazioni
La tua azienda dovrà avere una politica di sicurezza delle informazioni supportata da appropriate misure di sicurezza. iIl GDPR prevede l’adozione, da parte delle imprese che trattano dati personali, di comportamenti proattivi tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del nuovo regolamento:
1) La pseudonimizzazione e la cifratura dei dati personali;
2) La capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
3) La capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di problematiche fisiche o tecniche;
4) Una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento.
Responsabili della protezione dei dati (DPO)
La tua azienda dovrà nominare un responsabile della protezione dei dati DPO, (Data Protection Officer).
Il RDP (in italiano – Responsabile Protezione Dati) deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali, nonché delle norme e delle procedure amministrative che caratterizzano il settore”.
Il RPD deve avere anche “qualità professionali adeguate alla complessità del compito da svolgere” e, specialmente con riferimento a settori delicati come quello della sanità, possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento posti in essere al titolare.
