GDPR (General Data Protection Regulation)
Quali sono le principali novità? E cosa bisogna fare per adeguarsi al nuovo regolamento?
Il countdown per l’attuazione del GDPR è ormai iniziato.
Manca, infatti, poco meno di un mese al 25 maggio 2018, data in cui il Regolamento normativo (REGOLAMENTO UE n. 679/2016) sulla protezione dei dati personali entrerà in vigore in tutti gli stati membri dell’Unione Europea. Per non arrivare impreparati a tale data e scongiurare ogni dubbio, qui di seguito elenchiamo brevemente le principali novità contenute nel Regolamento:
-
Trattamento lecito
Il trattamento dei dati è lecito solo se: – l’interessato ha espresso il consenso al trattamento dei propri dati, per una specifica finalità – il trattamento è necessario per adempiere un obbligo contrattuale di cui l’interessato è parte – il trattamento è necessario per adempiere un obbligo legale o per la salvaguardia di interessi vitali
-
Consenso
La richiesta di consenso del trattamento dei dati, che avviene nel contesto di una dichiarazione scritta, deve essere chiaramente distinguibile da altri eventuali contenuti, redatta in forma comprensibile, semplice e chiara. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se rispetta tutte le caratteristiche del nuovo regolamento, in caso contrario è necessario raccogliere nuovamente il consenso degli interessati facendo attenzione che il consenso sia chiaramente distinguibile da altre richieste o dichiarazioni.
-
Dati personali e dati sensibili
– Dato personale: si intende qualsiasi informazione che riguarda una persona fisica identificata e identificabile. Sono elementi identificativi: nome, numero di identificazione, dati di ubicazione, identificativo online, elementi caratteristici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di una persona. – Dato sensibile: si intende qualsiasi dato che riveli l’origine razziale o etnica, opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati relativi alla salute, alla vita sessuale o all’orientamento sessuale di una persona. Il consenso al trattamento di dati sensibili deve essere esplicito, libero, specifico, informato e inequivocabile, deve essere manifestato attraverso “dichiarazione o azione positiva inequivocabile”. Non è ammesso il consenso tacito o presunto.
-
Soggetti coinvolti nel trattamento dei dati
– Interessato: la persona fisica cui si riferiscono i dati – Titolare del trattamento: la persona fisica o giuridica responsabile del corretto trattamento dei dati personali. Ha l’obbligo di dimostrare, in caso di ispezioni, il rispetto di tutte le indicazioni del regolamento. – Responsabile del trattamento: colui che tratti i dati personali per conto del titolare. Se è un soggetto esterno, il rapporto tra titolare e responsabile del trattamento deve essere contrattualizzato. E’ compito del titolare dare precise indicazioni al responsabile prescelto, sia esse dipendente o esterno. – Addetto al trattamento: colui che operativamente tratta i dati personali. L’addetto deve aver ricevuto precise istruzioni su ciò che può o non può fare in fase di trattamento di dati, e deve sottoscrivere uno specifico impegno alla riservatezza sui dati che tratta. – Responsabile della protezione dei dati (Data Protection Officer – DPO): figura obbligatoria solo se il trattamento dei dati è eseguito da un’autorità pubblica (es: enti pubblici), se richiede monitoraggio su larga scala (es: catene supermercati, aeroporti), se si trattano dati sensibili su larga scala (es: aziende sanitarie). Il DPO ha il compito di sorvegliare il rispetto del Regolamento, fornendo consulenza al titolare e al responsabile del trattamento e cooperare, qualora sia necessario, con le autorità di controllo.
-
Informativa
Il titolare al trattamento dei dati deve fornire all’interessato tutte le informazioni che riguardano il genere di dati e le modalità con cui vengono trattati attraverso un’informativa concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. L’informativa deve contenere: – l’identità e i dati di contatto del titolare al trattamento e, se previsto, quelli del responsabile alla protezione dei dati – la finalità del trattamento dei dati – eventuali destinatari o categorie di destinatari dei dati personali (es: INPS/INAIL) – l’intenzione del titolare del trattamento di trasferire i dati ad un paese terzo – il periodo di conservazione dei dati personali – il diritto dell’interessato a chiedere in qualsiasi momento l’accesso ai propri dati, la rettifica, la limitazione al trattamento o la revoca del consenso – il diritto di fare reclamo alle autorità di controllo – se la comunicazione dei dati è un obbligo legale e contrattuale o se un requisito necessario per concludere un contratto; se l’interessato ha l’obbligo a comunicare i propri dati e le possibili conseguenze della mancata comunicazione
-
Sicurezza del trattamento dei dati personali
– Data protection by default: il titolare deve accertarsi di trattare esclusivamente dati personali necessari al raggiungimento delle finalità del trattamento. – Data protection by design: il titolare deve analizzare in fase di progettazione, quindi ancor prima della raccolta dei dati, come questi saranno raccolti gestiti e protetti. Il titolare e il responsabile del trattamento dovranno quindi adottare tutte le misure necessarie per proteggere in modo adeguato i dati. Il titolare dovrà eseguire una valutazione, redatta in forma scritta, sul rischio di violazione dei diritti e di libertà delle persone fisiche valutando l’impatto che il trattamento può avere sulla protezione stessa dei dati.
-
Registro delle attività di trattamento
Il titolare del trattamento deve tenere un registro di tutte le attività effettuate nel trattare i dati personali sotto la propria responsabilità. Sono esentate dal tenere questo registro le aziende che hanno meno di 250 dipendenti.
-
Notifica delle violazioni di dati personali (Data Breach)
Il titolare deve notificare alle autorità di controllo, entro 72 ore, le violazioni dei dati personali solo se ritiene probabile che tali violazioni mettano a rischio i diritti e la libertà degli interessati.
-
Conservazione e distruzione dei dati
I dati personali raccolti dal titolare devono essere conservati solo per il tempo necessario a soddisfare le finalità del trattamento. Il titolare del trattamento deve garantire, qualora la persona lo richieda, la cancellazione informatica dei propri dati digitalizzati e fisica dei propri dati conservati su carta (Diritto all’oblio).
-
Sanzioni
L’inosservanza di tale Regolamento comporta pesanti sanzioni pecuniarie per le imprese: sono previste multe fino a un massimo di 20 milioni di Euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente. Per garantire la sicurezza del trattamento dei dati raccolti e il rispetto degli obblighi previsti dal Regolamento GDPR ogni azienda è tenuta ad adottare adeguate misure organizzative e tecniche. Avere un supporto informatico per gestire tutte le fasi della raccolta, del trattamento, della conservazione e della sicurezza dei dati personali è fondamentale per adeguarsi alla nuova normativa; ma non solo, dotarsi di un software conforme al Regolamento GDPR è un vero e proprio investimento per il futuro, grazie al quale è possibile garantire la sicurezza di tutta la rete aziendale.
Scopri i software “Privacy e GDPR” e “Sicurezza Estesa“