GDPR significato

Oggi, la maggioranza delle imprese ed enti pubblici sono ancora completamente impreparati ad accogliere le novità del maggio 2018, con il nuovo regolamento sulla protezione dei dati personali. Questo articolo contiene tutte le informazioni e i link alle risorse utili per potersi muovere in maniera informata sull’argomento della GDPR (General Data Protection Regulation).

Come essere GDPR compliant?

Dal 25 maggio 2018 è applicabile in tutti gli Stati membri deglli Unione Europea il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation)  relativo alla protezione delle persone fisiche con attenzione specifica sul trattamento e sulla libera circolazione dei dati personali.

La GDPR nasce dalla precisa necessità, come indicato dalla stessa commissione UE, di certezza giuridica in fatto di privacy e sicurezza, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo. Si tratta di una risposta urgente al sempre più complicato mondo digitale e alle sfide che esso comporta.

A inizio ottobre il WP29 (Gruppo di lavoro dell’articolo 29 in fatto di tutela dei dati per le autorità nazionali) ha addottato tre importanti provvedimenti sul tema dell’innovazione tecnologica, e sui nuovi modelli di crescita enomica, nel rispetto della privacy.

A preoccupare sono, però, le disposizioni opposte che hanno attribuito agli Stati membri la possibilità di legiferare in autonomia al fine di “precisare” le norme contenute nel GDPR. In qualche modo si è “tradita” l’iniziale visione dell’Ue e potrebbero sorgere contrasti tra il Regolamento e le leggi nazionali adottate per allinearsi alle nuove indicazioni.

Cosa cambia nel regolamento generale sulla protezione dei dati e come adeguarsi alla normativa

In estrema sintesi col GDPR (General Data Protection Regulatio):

  • Si introducono nuove regole più chiare su informativa e consenso dei dati;
  • Vengono definiti i limiti al trattamento automatizzato dei dati personali;
  • Poste le basi per l’esercizio di nuovi diritti da parte delle persone fisiche;
  • Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue e negli stati non regolamentati;
  • Fissate norme rigorose  e severe per i casi di violazione dei dati (data breach).

Queste nuove norme  si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque esse siano stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e in caso di inosservanza delle regole rischiano pesanti sanzioni.

GDPR Compliance

GDPR e normativa italiana, il decreto legislativo

Il Gdpr è entrato in vigore prima che il Governo esercitasse la delega. Ora ha tempo fino al 22 agosto per fare il decreto legislativo di adeguamento della normativa italiana al GDPR, con riguardo unicamente alle materie in cui lo stesso GDPR prevede la competenza delle normative nazionali. Fino a quando non avremo il decreto, il Gdpr in Italia equivale al regolamento europeo, quindi come tale deve essere rispettato. Con il decreto il GDPR sarà esplicitamente e chiaramente integrato anche dalla normativa nazionale nelle materie che la regolazione europea consente agli Stati di regolare. Le sanzioni penali della gpdr sono uno degli aspetti che si andra a discutere.

One stop shop (sportello unico)

Per risolvere eventuali difficoltà è stato introdotto lo “sportello unico” (one stop shop), che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme. Le imprese che operano in più Stati Ue potranno rivolgersi al Garante Privacy del Paese dove hanno la loro sede principale. In realtà, almeno in Italia, oltre la metà delle aziende – ma anche tante Pubbliche amministrazioni – non è ancora pronta ad allinearsi ai provvedimenti Ue in materia di data protection nonostante le severe sanzioni previste. Un aiuto potrebbe arrivare dal Piano Industria 4.0 che permetterebbe di investire per avviare l’adeguamento al GDPR. Il Garante ha dato precise indicazioni alle PA. Le priorità operative sono tre:

  1. La designazione in tempi stretti del Responsabile della protezione dei dati;
  2. L’istituzione del Registro delle attività di trattamento;
  3. La notifica dei data breach.

Portabilità dei dati

Nel Regolamento viene introdotto il diritto alla portabilità dei propri dati personali per trasferirli da un titolare del trattamento a un altro. La norma fa eccezione nei casi i cui si tratti di dati comontenuti in archivi di interesse pubblico, come ad esempio le anagrafi. In questo caso il diritto non potrà essere esercitato, così come è vietato il trasferimento di dati personaliverso Paesi extra Ue o organizzazioni internazionali che non rispondono agli standard di sicurezza in materia di tutela.

Il principio di “responsabilizzazione” cos’è e cosa significa

Vi sono altri importanti elementi di novità. Infatti è stata introdotta la responsabilizzazione dei titolari del trattamento (o accountability) e un approccio che tiene in considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. Questo nuovo diritto faciliterà il passaggio da un provider di servizi all’altro, agevolando la creazione di nuovi servizi, in linea con la strategia del Mercato Unico Digitale. Come responsabile dei dati, il titolare al trattamento è la figura che dovrà garantire a nome dell’azienda la sicurezza dei dati gestiti dalla stessa, il responsabile dei dati è infatti chiamato anche “garante della privacy”.

GDPR

Data breach Gdpr

Il titolare del trattamento dovrà sempre comunicare eventuali violazioni dei dati personali al Garante. Rispondere in modo efficace a un data breach per il Gdpr richiede un approccio multidisciplinare di alto livello ed integrato ad una maggiore cooperazione a livello Ue. L’attuale approccio presenta molte falle che vanno corrette assolutamente e sistemate. Non è semplice ma occorre farlo per non perdere l’occasione fornita dalla GDPR.

Il primo adempimento da porre in essere per le imprese italiane è senz’altro l’adozione del Registro dei trattamenti di dati personali, ma prima ancora che alle difficoltà burocratiche, l’azienda deve comprendere l’importanza e il valore dei dati (ancora oggi molte aziende non capiscono il valore dei dati), nonché agli ingenti danni economici legati a una perdita di informazione Il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare i danni; Il garante della privasi in caso di Data breach:

  • Potrà decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti oppure se dimostrerà di avere già adottato misure di sicurezza; oppure, nell’eventualità in cui informare gli interessati possa comportare uno sforzo sproporzionato si vedrà l’obbligo di comunicare in maniera pubblica che è stato effetuato il bata breach.
  • L’Autorità Garante potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria valutazione dei rischi correlati alla violazione commessa.
  • Le responsabilità e le sanzioni per le aziende della GDPR

  • Ci sono diverse fattispecie e si va da un mera diffida amministrativa a sanzioni fino a 20 milioni di euro. Per aziende estremamente grandi anche fino al 3% del fatturato totale dell’azienda.
  • La figura del DPO (Data Protection Officer)

  • Non a caso dalla norma è stata prevista la figura del Responsabile della protezione dei dati” (Data ProtectionOfficer o DPO)incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati. Spesso è una persona con competenze giuridiche o tecnico informatiche.
  • Il Responsabile della protezione dei dati:

    1. Riferisce direttamente al vertice dell’azienda assicurandosi che la direzione sappia se ci sono problemi,
    2. E’indipendente, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti;
    3. Gli vengono attribuite risorse umane e finanziarie adeguate alla mission.

    In realtà persistono ancora troppi dubbi su cosa sia il DPO. E’ una figura rilevante, ma certamente non è il “centro” del sistema posto in essere dalla GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento. Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”. È non meno importante però che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere” e, specialmente con riferimento a settori delicati come quello della sanità, possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento posti in essere al titolare. E’ altrettanta importante l’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati se si vuole restituire agli interessati quella sovranità sulla circolazione dei dati.

  • Quanto costa il Gdpr per le aziende italiane, quanto sono pronte? Consigli per ottimizzare la spesa

  • Le stime dicono che un percentuale importante di aziende italiane non è pronta per il GDPR. I costi di adeguamento sono di 200 milioni di euro per le aziende italiane, secondo Idc, anche se Confesercenti arriva a stimare 2 miliardi di euro.