GDPR 2018: Scopri cosa cambia sulla data protection e come adeguarti

GDPR 2018: cos’è e come le aziende devono adeguarsi ad esso al più presto

Cos'è il GDPR - Cybermind

Il 25 Maggio 2018 verrà reso esecutivo il nuovo regolamento generale per la protezione dei dati personali, dall’inglese General Data Protection Regulation, definito più comunemente con l’acronimo GDPR. Esso è entrato in vigore il 25 Maggio 2016 e stabilisce una serie di misure obbligatorie finalizzate a chiarire e rendere più consistente l’insieme di regole in materia di tutela dei dati personali all’interno dell’UE. Questi obblighi si applicano sia al privato sia al pubblico, e sia per le aziende che hanno sede in UE sia per le organizzazioni con sede fuori dall’Unione Europea ma che offrono servizi entro i confini europei.

Il regolamento si applica al “trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi” (Art. 3 – GDPR), e abroga e sostituisce interamente la Direttiva 95/46/CE e la sua legislazione di attuazione.

I 6 punti chiave del GDPR 2018 (e cosa rischi se non la applichi alla tua azienda)

Come spesso accade con regolamenti così importanti e corposi, è facile essere sopraffatti dagli adempimenti necessari a mettere in regola l’azienda. Riassumiamo quindi in 6 punti chiave tutti gli obblighi che ogni titolare del Trattamento dei dati personali avrà dal 25 Maggio 2018.

Accountability

Vige l’obbligo per i Titolari del trattamento, di adempiere e dimostrare di aver adempiuto ai principi ed alle misure richieste dal GDPR. È necessario quindi implementare sistemi di monitoring e reporting che diano la possibilità di dimostrare l’effettivo adempimento alla norma, anche sui diversi canali di comunicazione con le persone fisiche di cui vengono raccolti e trattati i dati.

Consenso e diritti degli interessati

È necessario poter dimostrare come è avvenuta l’effettiva acquisizione del consenso al trattamento dei dati da parte della persona fisica. L’esplicito consenso fornito da chi comunica i propri dati all’azienda deve essere reso semplice e chiaro; è inoltre necessario il consenso parentale per i minori di 16 anni che vogliano comunicare i propri dati (con la possibilità per i paesi UE di poter abbassare tale limite a 13 anni, se ritenuto opportuno).

L’interessato che voglia comunicare i propri personali dati a un’azienda, deve essere tutelato da questi diritti:

  • diritto di accesso ai propri dati;
  • diritto alla correzione degli stessi per errata corrige e/o aggiornamento;
  • diritto alla cancellazione dei dati forniti;
  • diritto di sottrarsi al marketing diretto;
  • diritto di negare il consenso a pratiche di automazione e profilazione;
  • diritto alla portabilità dei dati, deve essere possibile ottenere una copia delle informazioni inserite.

Privacy by design e by default

I Titolari del trattamento devono mettere in atto misure tecniche e organizzative che possano garantire la protezione dei dati dal momento della loro acquisizione e per tutto il loro ciclo di vita.

Privacy Impact Assessment

Ogni Titolare del trattamento ha inoltre l’obbligo di gestire adeguatamente i dati ad alto rischio, effettuando preventivamente una valutazione degli impatti sulla privacy derivanti dai trattamenti previsti e ha il conseguente obbligo di consultare l’Autorità di Controllo quando la valutazione d’impatto sulla protezione dei dati indichi un rischio residuo elevato.

Data Breach

In caso venga constatata una violazione che potrebbe aver permesso l‘indebito accesso ai dati personali degli interessati ai servizi dell’azienda, è necessario effettuare una comunicazione all’Autorità di Controllo entro 72 ore.

Data Protection Officer (DPO)

Un nuovo ruolo fondamentale che ogni Pubblica Amministrazione, Organismo Pubblico e azienda privata deve designare al più presto, con il fine di poter garantire la massima sicurezza e capacità di gestione delle diverse tipologie di trattamento dei dati.

Perché scegliere Cybermind per arrivare pronti a Maggio 2018 ed evitare corpose sanzioni

Le sanzioni arrivano a ben 20 milioni di Euro, o addirittura al 4{61260c224ec73cf9fe25c07b60775021dfb3290f6582448f0119a11624d8d908} del fatturato mondiale annuo dell’esercizio precedente, se superiore a 20 milioni di Euro. È chiaro come l’Unione Europea stia applicando un giro di vite importante in termini di circolazione dei dati personali, che ad oggi vengono spesso trattati in maniera superficiale e/o incontrollata, con effetti negativi per la sicurezza e il diritto alla privacy di ogni umano interessato ad un servizio.

Cybermind vanta una consolidata esperienza nella conduzione di progetti dove la valutazione delle conformità alle normative e il supporto all’attuazione degli adempimenti cogenti sono elementi fondamentali, all’interno di organizzazioni sia pubbliche sia private che trattano dati personali altamente sensibili, quali ad esempio dati di traffico, dati sanitari e dati giudiziari.

Scendendo nel pratico, ecco i servizi specialistici che possiamo offrirti per rispondere ai nuovi obblighi entro il 28 Maggio:

  • Analisi e valutazione dello scostamento dai requisiti di norma;
  • Supporto alla Privacy Impact Assessment;
  • Supporto alla definizione dei processi di security e privacy by design;
  • Supporto alla definizione dei processi di Data Breach Protection and Communication;
  • Supporto alla definizione degli adempimenti formali di carattere organizzativo e procedurale;
  • Monitoraggio continuativo e audit permanente.

Un anno di tempo per adeguarsi può sembrare tanto, ma per arrivare dal primo assessment fino al completo adempimento al GDPR serve tempo: mentre la concorrenza starà ancora pensando a come mettersi in regola in urgenza, il prossimo anno la tua azienda potrà dedicarsi a crescere in tranquillità.

Tags:
,