Il 25 Maggio 2018, giorno dell’entrata in vigore del GDPR, il nuovo Regolamento Europeo sulla Protezione dei Dati Personali o privacy policy, è una data che le imprese farebbero bene a segnare sul calendario.

Nel mare magnum del web in cui circolano migliaia di notizie sull’argomento, non sempre è facile orientarsi, quindi, per rendere questo tema comprensibile a chi vuole vederci chiaro, proviamo a fare un po’ di ordine e partiamo da principio: cos’è la GDPR?

Il GDPR, acronimo di General Data Protection Regulation, consiste nella disciplina europea, contenuta nel Regolamento UE 2016/679, che innova, semplificandolo, il sistema di trattamento e circolazione dei dati personali dei cittadini dell’Unione Europea.

Uniformando la normativa sulla privacy a livello europeo, si pone l’obiettivo di restituire al cittadino il controllo sui propri dati personali.

Alla luce del sempre crescente sviluppo tecnologico, si è avvertito dunque il bisogno di garantire non solo una maggiore certezza giuridica, ma anche degli strumenti per una più semplice comprensione della disciplina.

A fronte di questi cambiamenti, la domanda ricorrente in questo momento è: con l’entrata in vigore del GDPR cosa cambia per le imprese e quali sono i comportamenti che un’azienda deve attuare per adeguarsi alla nuova normativa?

Il primo elemento da sottolineare è l’approccio, adottato dal regolamento e centrato sulla tutela della privacy degli utenti, che tenta di estendere il raggio di applicazione della normativa non solo nei confronti delle imprese “europee” ma anche nei confronti di quelle che, pur essendo “extra-UE”, trattano dati di soggetti residenti all’interno dell’UE.

Altro elemento di rilievo riguarda la responsabilizzazione dei titolari nei confronti dei trattamenti dei dati (accountability). Essi non solo devono garantire l’osservanza delle norme, ma anche dimostrare di mettere in pratica le misure previste, per cui è necessaria una valutazione d’impatto della protezione dei dati.

Tra i nuovi obblighi, l’Unione Europea prevede che il titolare debba sottoscrivere e predisporre informative sulla privacy in modo conciso, chiaro e facilmente accessibile, al fine di poter ottenere un valido consenso.

Un altro tema riguarda il “data breach”, ovvero la violazione dei dati personali. In questo caso i titolari dei trattamenti saranno tenuti ad avvisare repentinamente (entro 72 ore) l’Autorità di Controllo e i diretti interessati, per le violazioni per cui possano derivare un rischio per i diritti e le libertà delle persone. Ciò obbliga dunque le imprese a dotarsi di adeguati sistemi volti ad un’immediata segnalazione del “breach”.

Oltre a dotarsi di questi strumenti, le imprese dovranno discutere sul DPO (Data Protection Officer) cioè il soggetto che, per svolgere compiti di consulenza, verifica e controllo in materia, deve essere nominato non solo nelle pubbliche amministrazioni, ma anche nelle imprese che richiedono il monitoraggio sistematico di grandi quantità di dati o di dati sensibili.

Nel GDPR è previsto che sia garantito anche il diritto di accesso delle persone ai propri dati, poiché l’interessato deve poter conoscere non solo l’esistenza di dati che lo riguardano, ma anche le finalità, il luogo in cui sono conservati, etc.

Chiaramente, è necessario conoscere i diritti degli interessati per poter comprendere meglio gli obblighi da parte delle imprese.

Un esempio importante è il “diritto all’oblio”, ovvero l’obbligo per il titolare del trattamento di cancellare i dati personali dell’interessato che ne faccia domanda. Il diritto all’oblio si applica in caso di utilizzo dei dati al di fuori delle finalità dichiarate, di revoca del consenso, di opposizione al trattamento e di illecito.

A fronte di queste considerazioni, risulta evidente la necessità per le aziende di adeguarsi al GDPR, al fine di avviare un virtuoso processo di analisi, progettazione e sviluppo delle attività e non cadere in sanzioni che possono incidere non solo sul bilancio ma anche sulla reputazione dell’azienda.

Le attività da mettere in atto entro il 25 Maggio sono:

  • Attività di pre-verifica dei requisiti previsti dal GDPR, calati all’interno della specifica realtà aziendale;
  • Attivazione di una serie di interventi mirati, volti a sanare le falle più gravi e stabilire la corretta applicabilità delle nuove regole;
  • Predisposizione di adeguati sistemi volti alla segnalazione immediata del data breach;
  • Formazione della persona che assumerà il ruolo di Data Protection Officer;

Haku communication fornisce un servizio di assistenza e consulenza alle aziende nell’adeguamento alle direttive del GDPR 2018. Per richiedere maggiori informazioni, contattaci utilizzando l’apposito modulo.

Clicca qui per maggiori informazioni

NOTA! QUESTO SITO UTILIZZA I COOKIES E TECNOLOGIE SIMILI. Questo Sito Web utilizza la tecnologia ‘cookies’ per migliorare l’esperienza generale del Sito e per servizi di terze parti./learn_more]