Il Regolamento Generale sulla Protezione dei Dati (GDPR), che entrerà in vigore a partire dal 25 maggio 2018, crea regole coerenti in merito alla protezione dei dati nell'Unione europea. Si applica alle aziende con sede nell'Unione europea e alle aziende globali che trattano dati personali relativi agli utenti nell'Unione europea.

Anche se molti dei suoi principi si basano sulle attuali norme di protezione dei dati dell'Unione europea, il GDPR prevede un ambito di applicazione più ampio, standard più prescrittivi e multe sostanziali. Ad esempio, richiede uno standard di consenso più elevato per l'uso di alcuni tipi di dati e amplia i diritti delle persone relativi all'accesso e al porting dei dati. Conferisce inoltre importanti poteri esecutivi, consentendo all'autorità di vigilanza di un'azienda di applicare multe fino al 4% dei ricavi globali annui per determinate violazioni.

Rispettare la attuali leggi sulla protezione dei dati è importante e lo sarà ancora di più a partire dal 25 maggio 2018. Il GDPR renderà la protezione dei dati personali uno dei punti cruciali per le aziende.

Bisogna garantire trasparenza!
La nuova normativa sui dati obbligherà le aziende a fornire tutte le informazioni circa i modi in cui vengono trattati i dati personali degli utenti.

Bisogna garantire un pieno controllo!
Diventa obbligatorio fornire agli utenti tutte le opzioni per controllare il modo in cui vengono usati i loro dati. Inoltre, sarà necessario semplificare le modalità di cancellazione dei propri dati da tutti i sistemi aziendali.

Bisogna garantire affidabilità!
Deve essere nominato un Responsabile dei Dati Personali (DPO) il quale si assume la piena responsabilità circa l'eventuale fuoriuscita di dati sensibili dall'azienda. E' anche colui cheattuerà tutte le procedure di controllo e protezione necessarie a garantire la piena privacy dei clienti. Deve possedere un'ottima conoscenza della normativa sulla gestione dei dati personali nel paese in cui opera e deve progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, interagendo coi sistemi di gestione aziendali, per curare l'adozione di misure di sicurezza finalizzate alla tutela dei dati, che soddisfino i requisiti di legge e per evitare i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di eventuali accessi non autorizzati e/o di trattamento non consentito e/o non conforme alle finalità previste. Per ovvie ragioni, il responsabile della protezione dei dati deve possedere, oltre che competenze legali, anche competenze di carattere informatico.

In base al GDPR, vi sono alcune motivazioni che legittimano il trattamento dei dati personali. Di seguito, vediamo quali sono le principali basi giuridiche riconosciute dal GDPR ed i relativi requisiti di base e implicazioni per le aziende coinvolte:

• I dati trattati devono essere necessari per la fornitura del Servizio e devono essere chiaramente definiti nel contratto stipulato con l'utente.
• È necessario ricevere un consenso non ambiguo, consapevole, specifico e libero da parte dell'utente mediante azione affermativa chiara.
• Le persone hanno il diritto di ritirare il proprio consenso e questa possibilità deve essere sottoposta alla loro attenzione.
• Il consenso deve arrivare da una persona che abbia superato l'età del consenso stabilita in quel preciso Stato membro o, in alternativa, deve essere dato o autorizzato da un genitore/turore.
• Per alcuni trattamenti (ad es. categorie speciali di dati personali), è necessario un consenso esplicito.
• Un'azienda o terzi devono disporre di interessi legittimi sui quali non prevalgono i diritti o gli interessi dei singoli utenti.
• Il trattamento dei dati deve essere sospeso se un utente solleva un'obiezione.

Titolare del trattamento dei dati: viene così definito colui che decide gli "scopi" e i "mezzi" del trattamento dei dati personali. In modo simile a ciò che è già in vigore con la legge sulla protezione dei dati attuale, i titolari del trattamento dei dati dovranno adottare misure di conformità che includano il modo in cui vengono raccolti i dati, il fine per cui vengono usati e il periodo di conservazione, nonché assicurare alle persone il diritto di accedere ai dati che hanno fornito.

Responsabile del trattamento dei dati: viene così definito colui che tratta i dati personali per conto di un titolare del trattamento dei dati. Determinati obblighi si applicano ora direttamente ai responsabili del trattamento dei dati e i titolari del trattamento devono vincolarli a determinati impegni contrattuali per garantire che i dati vengano trattati in modo sicuro e legale.

Trasferimenti: come già avviene attualmente, qualsiasi trasferimento di dati personali al di fuori dello SEE (Spazio Economico Europeo) deve rispettare i requisiti giuridici del proprio Paese.

Condizioni: nel fornire servizi ai suoi partner/clienti nell'Unione europea, in qualità di titolare del trattamento dei dati, l'Azienda deve assicurare la propria conformità ai requisiti specifici previsti per i responsabili del trattamento dei dati. Laddove vengano indicati terzi come responsabili del trattamento dei dati per conto nostro, bisogna assicurarsi che siano in vigore le condizioni adeguate per la conformità ai requisiti del GDPR e la protezione dei dati personali in nostro possesso.

L’introduzione del nuovo GDPR implica l’arrivo di nuove ed importanti normative per quanto riguarda la sicurezza dei dati in tutta Europa. Le nuove regole, che sono state pensate per apportare il più grande cambiamento nella protezione dei dati degli ultimi 20/30 anni, entreranno in vigore il 25 maggio 2018 con l’intento di dare ai cittadini dell’Unione Europea più controllo sui propri dati e su come vengono utilizzati.

La finalità di questo nuovo regolamento è quella di affrontare in modo efficace le criticità legate alla crescita della tecnologia cloud e alla diffusione di internet, che ci ha portato a condividere le nostre informazioni personali con eccessiva facilità e senza pensarci troppo. Il nuovo regolamento vuole rafforzare l’attuale legislazione, stabilire delle misure di applicazione più severe e fare in modo che le aziende siano più consapevoli di come trattare le informazioni personali che raccolgono. Ma non solo, l’obiettivo è anche stabilire un quadro di riferimento per le imprese, rendendo le leggi sulla protezione dei dati uguali per tutti e fornendo maggiore chiarezza oltre ad un ambiente più facile in cui operare.

Il regolamento GDPR non si applicherà solo alle società che svolgono la loro attività nell’Unione Europea, ma riguarderà le aziende che avranno rapporti commerciali o analizzeranno i dati dei cittadini della UE.

Con l’entrata in vigore del GDPR diventa fondamentale essere certi che la propria attività adempia alle nuove norme. Chi non sarà in grado di adeguarsi al GDPR potrebbe rischiare sanzioni fino a 20 milioni di euro o pari al 4% del volume d’affari globale annuo, con applicazione dell’importo più elevato.

Autovalutazione!
È importante individuare in anticipo come il GDPR potrà incidere sulla vostra azienda, così da mettersi nella condizione di creare un piano d’azione per adeguarsi alla nuova normativa.

Affrontare la questione in modo strategico!
Le implicazioni del GDPR molto probabilmente avranno effetti su tutti i reparti della vostra azienda, quindi conviene affrontare la questione tutti insieme e creare una strategia unificata. Assicuratevi di prendere in considerazione tutti i dati che la vostra azienda raccoglie e sforzatevi di capire dove gli stessi vengono archiviati. È importante sapere come questi dati si muovono all’interno della vostra azienda e chi ha accesso ad essi. Inoltre, dovete essere sicuri di aver ottenuto uno specifico consenso per l’utilizzazione di tali dati. Il consenso tacito, le caselle preselezionate o la mancata azione dell’utente non sono sufficienti. Inoltre, controllori incaricati verificheranno che i dati siano usati in modo trasparente e per una specifica finalità. A seconda della grandezza e delle esigenze della azienda, quando i cambiamenti entreranno in vigore, valutate di creare un apposito team interno oppure nominate un responsabile specifico per verificare la conformità al GDPR. Tali azioni saranno di inestimabile valore per un adempimento alla normativa senza problemi o sorprese.

Tenere un registro delle attività:
Documentate il modo in cui le procedure vengono controllate per essere sicuri che tutti i passaggi siano eseguiti correttamente. È anche importante creare un piano di azione contro i reati: qualsiasi violazione dei dati deve essere riportata all’autorità competente entro 72 ore. Non fare questo significa incorrere in una sanzione fino a 10 milioni di euro o pari al 4% del fatturato. Può essere inoltre importante tenere dei corsi di formazione regolari per gli impiegati, affinché possano apprendere le corrette procedure per la gestione dei problemi e siano consapevoli dei rischi, ma anche introdurre controlli interni per le attività in corso e revisioni per le politiche delle risorse umane.

L’implementazione del GDPR e la sua imminente entrata in vigore  richiede la necessità di sfatare una serie di miti su ciò che è lecito fare, e cosa no, per rendere conforme la propria azienda. È fondamentale sapere con chiarezza cosa richiede il GDPR e come fare per adeguarsi.

Spesso si pensa che il GDPR sia pensato solo per la raccolta e la conservazione dei dati digitali, ma in realtà si estende a molto altro. Il nuovo regolamento riguarda infatti tutti i dati, compresi quelli conservati su supporti cartacei. I documenti su carta devono essere conservati in modo da adempiere alla normativa GDPR esattamente come avviene per i dati sugli hard disk.

Una parte dei requisiti del GDPR include il diritto ad avere i propri dati cancellati o il cosiddetto diritto all’oblio, cioè il diritto che l’informazione venga dimenticata se non più rilevante o obsoleta. Se non sarete in grado di gestire queste informazioni su documentazione cartacea, correrete il rischio di non adempiere al GDPR. In più, c’è la possibilità che tali documenti stampati finiscano nelle mani sbagliate, rappresentando lo stesso pericolo di un hacker che entra nella rete aziendale. Investire in schedari e classificatori con serratura e adottare un sistema di archiviazione per i documenti cartacei risulterà particolarmente utile quando bisognerà reperirne uno.

Sebbene possa essere più facile da gestire nel lungo periodo, il regolamento per la protezione dei dati probabilmente richiederà del tempo per essere implementato nella vostra azienda. Per questo è importante iniziare a prendere i primi provvedimenti per essere in linea con la normativa già adesso. Così quando il GDPR sarà in vigore, la vostra azienda sarà già pronta al cambiamento.

Il nuovo regolamento sulla protezione dei dati sta cambiando il modo con cui i dati personali vengono utilizzati dalle aziende. L’attuale atto relativo alla protezione dei dati personali permette alle imprese di utilizzare tali informazioni, ma il nuovo GDPR cambierà il modo in cui verranno usate. La nuova normativa permetterà alle persone di accedere alle informazioni che le aziende possiedono su di loro. Nella maggior parte dei casi, le società dovranno essere in grado di fare seguito alla richiesta entro un mese.

Data la complessa natura di questa nuova legislazione dell’Unione Europea, è fondamentale che la vostra azienda sia pienamente preparata ai cambiamenti apportati dal GDPR. La protezione dei dati è una questione seria per tutti e le nuove linee guida serviranno per creare maggiore fiducia, rafforzando e unificando la protezione delle informazioni personali. A tal fine, OFFICINA DIGITALE ha predisposto un'apposita area dedicata a tutti coloro che necessitano di acquistare prodotti certificati e sicuri per adeguarsi alla nuova normativa: https://www.officinadigitale.com/460-gdpr

Inoltre, sperando di fare cosa gradita, elenchiamo qui di seguito un po' di materiale utile per rendere le aziende "compliance":

• Software gratis per redigere il DPIA (valutazione d'impatto sulla protezione dei dati);
• Vendita online di prodotti e software atti all'adeguamento alla nuova normativa;
• Soluzioni pratiche per aziende e professionisti by Buffetti;