GDPR. Una sintesi delle cose indispensabili da sapere

/, GDPR/GDPR. Una sintesi delle cose indispensabili da sapere

GDPR. Una sintesi delle cose indispensabili da sapere

Il nuovo Regolamento europeo (General Data Protection Regulation- Regolamento UE 2016/679) in vigore dal prossimo 25 maggio impone obblighi stringenti sul trattamento e la gestione dei dati dei cittadini europei e avrà un impatto legale, tecnologico ed organizzativo per aziende ed enti non profit.

Questa guida sintetica GDPR. Una sintesi delle cose indispensabili da sapere contiene cose utili da sapere e suggerimenti per dare la possibilità alle organizzazioni di rispondere in modo adeguato e pronto alla nuova normativa europea.

LE NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO PER LA PROTEZIONE DEI DATI

Per rendere il livello di protezione più omogeneo si è quindi deciso di utilizzare il Regolamento europeo, immediatamente obbligatorio in tutte le sue disposizioni, con efficacia diretta e immediata.

Non cambiano i principi sulla modalità di raccolta dei dati già in vigore ma vanno ad essere maggiormente esplicitati i principi e le norme per la loro sicurezza e trattamento.


I PRINCIPI

Accountability
Il dato diventa un bene che va tutelato a sé, e il titolare diventa il solo responsabile dei trattamenti e deve dimostrare di di aver valutato i rischi connessi al trattamento dei dati e di aver adottato tutte le misure idonee a garantire la tutela del dato.
Il titolare del trattamento deve adottare due modalità:
– Privacy by default, un sistema che certifica la corretta organizzazione, documentazione e tracciabilità dei dati
– Privacy by design, un uso di sistemi informatici consapevole in modo da garantire la sicurezza dei dato.


NUOVI DIRITTI PER L’INTERESSATO

Diritto all’oblio
Ottenere dal Titolare del trattamento la cancellazione, senza ingiustificato ritardo (non oltre i 30 giorni) dei dati personali che lo riguardano, quando non sussistono legittimi motivi per mantenerli. La cancellazione può essere rifiutata quando si abbia a che fare con il diritto di espressione o informazione, quando in relazione ad un obbligo legale o per motivi di pubblico interesse nella sanità o nella ricerca, per finalità statistiche o di archivio storico, o per consentire al titolare di esercitare il diritto di difesa in sede giudiziaria.

Portabilità dei dati
Ai cittadini europei sarà garantito un diritto di accesso più facile ai propri dati personali e potranno ottenerne copia per trasferire gli stessi dati da un ambiente informatico ad un altro. Si fa riferimento anche ai dato raccolti prima dell’entrata in vigore del Regolamento.

NUOVI STRUMENTI PER IL TITOLARE DEI DATI

Data Privacy Impact Assessment (DPIA)
Prima di procedere al trattamento, il titolare deve svolgere un’analisi dei rischi generati in concreto dal trattamento dei dati, soprattutto se il trattamento prevede l’uso di nuove tecnologie (privacy by design). Deve descrivere le modalità di trattamento, i processi e le operazioni effettuate sui dati e la loro modalità di conservazione.

Registro dei trattamenti
Il Regolamento prevede che i Titolari ed i Responsabili tengano un registro delle attività di trattamento. Sebbene rappresenti un obbligo solo per alcune tipologie di imprese o organizzazioni, l’Autorità Garante ne consiglia la tenuta per tenere costantemente monitorati i flussi e quindi i rischi.

 

Nuove regole per il Data Breach (violazione dei dati)
Il Data Breach è ogni violazione di sicurezza che accidentalmente o in modo illecito comporta la distruzione, la perdita, la modifica o la divulgazione e accesso non autorizzati ai dati personali trattati. Entro 72 ore dalla scoperta il Titolare deve informare l’Autorità indicando le circostanze relative alla violazione, le sue conseguenze e i provvedimenti adottati per porvi rimedio.

La figura del DPO (responsabile della protezione dei dati)
E’ obbligatoria solo in alcuni casi, ed è una figura essenziale per vigilare e monitorare il trattemento dei dati in grandi organizzazioni private o pubbliche. Deve essere un soggetto esterno all’azienda, deve avere requisiti di professionalità e di esperienza commisurati alla sensibilità, complessità e quantità di dati trattati e deve godere di indipendenza ed autonomia di spesa

Ha compiti specifici quali informare e fornire consulenza al Titolare del trattamento nonché ai dipendenti che eseguono il trattamento r predisporre relazioni periodiche per il management, nonchè sorvegliare l’osservanza del Regolamento e di tutte le altre disposizioni anche nazionali in materia di protezione dei dati.


NUOVE SANZIONI AMMINISTRATIVE

Mentre rimangono invariate le sanzioni penali, le sanzioni pecuniarie amministrative subiranno un deciso incremento.
Tenendo conto delle esigenze delle micro, piccole e medie imprese e organizzazioni, le sanzioni amministrative devono essere effettive, proporzionate e dissuasive, e sono suddivise in due scaglioni:

  • Fino a 10 milioni di euro (o, per le imprese fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore)
  • Fino a 20 milioni (o, per le imprese fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore)

Nell’applicazione delle sanzioni le Autorità Garanti dovranno valutare il tipo e durata della violazione, le misure di sicurezza adottate dal titolare, la natura doloso o colposa della condotta.


COSA BISOGNA FARE QUINDI E COME PUO’ AIUTARVI UNIBACKUP?

  • Effettuare un assessment per individuare la tipologia di dati raccolti, i tipi di trattamenti effettuati e le finalità per le quali i dati sono raccolti;
  • Individuare con specificità i dati trattati, la loro posizione
  • Individuare chi tratta i dati e aggiornare le nomine;
  • Dotarsi di procedure interne per limitare il trattamento dei dati alle figure necessarie in azienda;
  • Dotarsi di sistemi IT adeguati a limitare al massimo i rischi connessi alla sicurezza dei dati;
  • Predisporre informative aggiornate ed adeguate;
  • Implementare sistemi efficaci per la raccolta del consenso per il trattamento di dati.

Per informazioni info@unibackup.it

Fonte: consulenti legali techsoap italia

By | 2018-03-03T19:13:59+00:00 marzo 3rd, 2018|Approfondimenti, GDPR|0 Commenti

About the Author:

Appassionato professionista del settore information technology di cui conosce approfonditamente sia gli aspetti tecnici che organizzativi e di sviluppo. Nel 1992 si avvicina al mondo di Internet ancora agli albori, riservato al mondo universitario. Da quel momento non abbandona più il mondo della rete e digitale. Attualmente si occupa prevalentemente di progetti di trasformazione digitale portando le sue conoscenze trasversali del mondo digitale al servizio delle strategie di business di aziende che vogliono operare la trasformazione verso un percorso di innovazione e comunicazione costante con il proprio Cliente. Inoltre è esperto di temi sistemistici e gestione data center. Infrastrutture Client/Server. Sicurezza dei dati e Cybersecurity.

Scrivi un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.