photo blog
IL REGOLAMENTO GENERALE SULLA PROTEZIONE DATI

Il Regolamento Generale sulla Protezione dei Dati è ormai vicino. A partire dal 25 maggio 2018, tutte le organizzazioni che gestiscono informazioni personali dei residenti nell’UE dovranno adattarsi alla nuova normativa.

Gli obiettivi principali del regolamento:

-          Maggior fiducia consumatori in organizzazione che conservano e trattano i loro dati personali

-          Semplificare libero flusso dei dati personali

Il regolamento amplia i requisiti della normativa precedente, introducendo nuovi obblighi. Le imprese devono mettersi al lavoro per adeguarsi alla normativa europea. Alcune violazioni del regolamento sono punibili con sanzioni pecuniarie fino al 4% del fatturato totale annuo o 20 MLN euro. Chi dedica il tempo necessario per prepararsi al regolamento, eviterà le sanzioni e avrà creato un sistema di gestione dei dati robusto e affidabile.

 

Applicazione della nuova legge

Gli Stati membri possono introdurre ulteriori restrizioni sul trattamento dei dati dei dipendenti e possono promulgare delle leggi per limitare i diritti concessi dal regolamento in aree come sicurezza nazionale, criminalità e procedimenti giudiziari.

Il GDPR si applica a tutte organizzazioni in UE che raccolgono, conservano e trattano i dati personali delle persone fisiche. Anche organizzazioni aventi sede fuori dall’UE che monitorano o forniscono merci e servizi alle persone fisiche nell’Unione dovranno osservare nuova normativa. È previsto anche che le organizzazioni nominino un rappresentante della protezione dei dati avente sede in uno degli Stati membri.

Il nuovo meccanismo di “sportello unico” prevede che le organizzazioni facciano riferimento ad una sola autorità di controllo e non una diversa per ogni Stato membro.

Le organizzazioni devono rivedere e aggiornare gli accordi contrattuali e definire e documentare in modo chiaro e preciso le responsabilità del titolare e del responsabile del trattamento in materia di dati.

 

Diritti delle persone fisiche relativamente ai dati

Alcuni nuovi concetti sono “il rischio elevato per le persone fisiche”, “il trattamento su ampia scala” e “i dati pseudonomizzati”. Per quanto riguarda il consenso, il regolamento impone requisiti più rigidi in merito all’ottenimento del valido consenso da parte degli interessati per il trattamento dei loro dati.
Infatti, essi devono manifestare la loro “intenzione libera, specifica, informata e inequivocabile di accettare che i dati personali che lo riguardano siano oggetto di trattamento”. Non configurano come consenso, il consenso tacito o passivo o la preselezione di caselle.

Altro obiettivo importante del regolamento è fornire agli interessati il controllo sui propri dati personali. Il regolamento lascia invariati i diritti delle persone fisiche ma ne aggiunge anche di nuovi:

-          Diritto all’oblio: gli interessati godono del diritto di ottenere dal titolare la rimozione di qualsiasi dato trattenuto su di loro in determinate circostanze.

-          Diritto alla portabilità dei dati: gli interessati potranno richiedere che i loro dati personali vengano trasmessi ad un altro titolare del trattamento nei casi in cui il trattamento è soggetto a consenso.

 

Protezione dei dati

Le organizzazioni devono mettere in atto misure tecniche e organizzative adeguate prima di realizzare il trattamento dei dati e dovranno valutare debitamente l’impatto dei dati sulla privacy. La protezione dei dati dovrà essere sviluppata circa i sistemi di trattamento di default. Il GDPR istituisce l’obbligo di eseguire delle valutazioni d’impatto sulla protezione dei dati. Il GDPR incoraggia l’adozione degli schemi di certificazione come mezzo per dimostrare la conformità. Tale conformità viene riconosciuta mediante utilizzo dello standard internazionale di sicurezza dell’informazione ISO 27001, unico standard riconosciuto a livello internazionale. Le organizzazioni, infine, hanno l’obbligo di mantenere dei registri sulle attività di trattamento dei dati condotte, e di metterli a disposizione delle autorità di controllo, su richiesta. Tali registri devono includere sostanzialmente il tipo di dati trattati, dove come e perché vengono trattati. Rimangono escluse da questo requisito le aziende con meno di 250 dipendenti purché il trattamento non comporti un rischio per le libertà e i diritti, non sia relativo a dati riguardanti condanne penali e reati, o categorie particolari di dati personali.

 

Per essere pronti a soddisfare questi nuovi requisiti del GDPR è importante collaborare con soggetti qualificati. I nostri consulenti sono a disposizione per definire e progettare le strategie customizzate per il GDPR. Per approfondimenti contattare Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. o chiamare lo 02 458 643 55.


Leave a comment

Make sure you enter the (*) required information where indicated. HTML code is not allowed.