Guida GDPR: i punti essenziali del nuovo regolamento privacy

Cyber Security, Sicurezza business
guida gdpr
Condividi:

E’ ormai definitivamente applicabile il GDPR, il nuovo regolamento europeo della privacy che stabilisce obblighi per chi cura la gestione e il trattamento dei dati e diritti dell’interessato. Nonostante il regolamento sia in realtà attivo dal 2016, solo dal 25 Maggio 2018 diventa pienamente efficace e, con esso, anche le eventuali pesanti sanzioni amministrative. Ecco la guida GDPR, con gli elementi essenziali per permettere ad aziende e cittadini di orientarsi:

I diversi tipi di dati personali
Perché il GDPR?
I soggetti del GDPR
Quali aziende e attività devono adeguarsi al GDPR
Le novità più importanti introdotte dal GDPR
Sanzioni applicabili
Come adeguarsi al GDPR

Cosa si intende per dati personali?

Per una definizione completa ci rifacciamo al Garante Privacy, il quale identifica i dati come personali quando permettono l’identificazione diretta di una persona fornendo dettagli sulle sue caratteristiche, abitudini, stato di salute, relazioni personali, situazione economica, …

Tra questi dati personali ci si riferisce in particolare a:

  • dati identificativi (dati anagrafici, immagini);
  • dati sensibili (origine razziale, etnica, religione, orientamenti politici, stato di salute e orientamento sessuale);
  • dati giudiziari (che rilevano l’esistenza di determinati provvedimenti giudiziari soggetti a iscrizione nella fedina penale).
  • Dati riferibili a recapiti (telefono, mail) e geolocalizzazione (es. app, liste di direct marketing)

Perché il GDPR?

In un’era nella quale si producono sempre più dati personali e cediamo sempre più informazioni, diventa fondamentale ottenere una gestione più trasparente degli stessi, verificabile dai soggetti interessati, i quali hanno nuovi diritti (che si trasformano in doveri per aziende e attività che trattano dati personali).

E, inoltre, si è resa necessaria una legislazione omogenea all’interno dell’UE.

I soggetti del GDPR

  • L’interessato – è la persona fisica cui si riferiscono i dati personali.
  • Il titolare – è la persona fisica, l’impresa, l’ente pubblico o privato, l’associazione, ecc… cui spettano le decisioni sugli scopi e sulle modalità del trattamento oltre che sugli strumenti utilizzati.
  • Il responsabile – è la persona fisica, la società, l’ente pubblico o privato, l’associazione o l’organismo cui il titolare affida, anche all’esterno della sua struttura organizzativa, specifici e definiti compiti di gestione e controllo del trattamento dei dati.
  • L’incaricato – chi, per conto del titolare, elabora o utilizza materialmente i dati personali sulla base delle istruzioni ricevute dal titolare e/o dal responsabile del trattamento dati.

Ti sta piacendo l’articolo? Iscriviti alla newsletter di Noi Sicurezza per ricevere altri consigli interessanti sulla sicurezza! (promettiamo di non essere troppo invadenti e di rispettare la tua privacy 😉) Buona continuazione di lettura!

[wysija_form id=”1″]

Quali aziende e attività devono adeguarsi al GDPR

Tutte quelle che trattano dati personali e sensibili, di fatto praticamente tutte. Dalle grandi aziende al micro business.

Non pensiamo solo alle multinazionali. Anche una farmacia, uno studio medico che tratta dati personali di pazienti, anche una profumeria che vuole fare una piccola campagna sms ai propri clienti deve rispettare il nuovo regolamento.

E, infine, tutte quelle attività che utilizzano strumenti per attività di direct marketing o strumenti di analisi (ad esempio Google Analytics) non aggregati o non anonimizzati.

Le novità più importanti introdotte dal GDPR

  • Chiarezza dell’informativa. Niente più informative poco leggibili, complicate e scritte “in legalese”, il compito di chi tratta i dati è di spiegare in maniera chiara come verranno utilizzati i dati per cui si deve decidere se prestare consenso o meno al trattamento.
  • Responsabilizzazione dell’azienda che deve proteggere i dati. Chi tratta i dati deve partire dalla sicurezza degli stessi (security by design), il primo obiettivo è quello di difendere dati personali e sensibili eventualmente in possesso (v. anche sanzioni previste). Il Data Breach è il pericolo più grande, le aziende sono tenute ad adottare le soluzioni di sicurezza adeguate per difendere i dati.
  • Obbligo di indicare il periodo di utilizzo dei dati: un’azienda o un’attività non potrà utilizzare indefinitamente i dati degli interessati, che saranno soggetti a una scadenza. Niente più consenso a vita, dunque, ma obbligo di specificare la durata del trattamento da parte delle aziende.
  • Obbligo di indicazione del tipo di utilizzo dei dati (un consenso per ogni diverso utilizzo). Non è più possibile esporre un consenso cumulativo per diversi tipi di utilizzi.
  • Non è possibile autocompilare i consensi, sarà necessaria l’azione consapevole dell’utente interessato.
  • Accesso ai dati, modifica, revoca, eliminazione o portabilità. Ogni azienda o attività che gestisce dati personali sarà tenuta a garantire agli interessati un accesso ai dati il più agevole possibile, in tempi consoni e consentendo altre azioni quali la modifica dei dati personali, la revoca del consenso dei dati con la conseguente eliminazione degli stessi dai database (diritto all’oblio). L’interessato ha altresì diritto a ottenere un elenco dei dati trattati in un formato “portabile” da un’organizzazione a un’altra (es. da Vodafone a TIM).
  • Obbligo di risposta da parte dell’azienda entro 1 mese di tempo dalle richieste degli interessati.

Guida GDPR, le sanzioni applicabili

Il diretto interessato può richiedere un risarcimento sia che subisca danni morali sia che subisca danni materiali. Sono previste due tipi di sanzioni, entrambe molto pesanti: 10 milioni di euro o il 2% del fatturato (se superiore) fino a un massimo di 20 milioni di euro o il 4% del fatturato.

Quando si applicano le sanzioni GDPR fino a 10 milioni € / 2% del fatturato:

  • mancata notifica di Data Breach subiti alle Autorità competenti entro 72 ore;
  • trattamento illecito di dati personali che non richiede l’identificazione dell’interessato;
  • mancata nomina del DPO in azienda (Data Protection Officer) quando prevista;
  • mancata applicazione di misure di sicurezza volte alla protezione dei dati personali;
  • violazione del consenso applicabile ai minori.

Quando si applicano le sanzioni GDPR fino a 20 milioni € / 4% del fatturato:

  • inosservanza di un ordine relativo al trattamento dei dati imposto dall’Autorità nazionale competente;
  • trattamento illecito trans-nazionale di dati personali a un Paese estero.

Sanzioni penali

Naturalmente non finisce con le sanzioni amministrative, nei casi più gravi in cui sia comprovato dolo e/o una violazione particolarmente grave, è compito dei singoli Paesi prevedere pene quali il carcere o altre misure restrittive.

Come adeguarsi al GDPR

In questa giungla e momento di panico di chi deve ancora adeguarsi alla nuova normativa, diffidate di chi vi propone una soluzione “all inclusive” a 160€ o anche meno. Un minimo di analisi dei processi, dello stato dell’arte a livello di sicurezza informatica, di formazione deve essere fatto: chi vi propone prezzi stracciati chiede poco ma restituisce nulla.

Chiedere piuttosto ad aziende ed esperti che riuniscono competenze privacy a quelle di sicurezza informatica. Perché non è solo un tema di processi, ma anche di protezione informatica dei dati.

Contatta Noi Sicurezza e chiedi una consulenza sul GDPR per evitare pesanti sanzioni:

CHIEDI INFORMAZIONI
Condividi:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.