Le 6 cose da sapere sul GDPR

4 febbraio 2018 0 Di Yuri Poletto
Che cos’è.

Il GDPR è il nuovo regolamento europeo sulla protezione e il trasferimento dei dati personali. Entrerà in vigore il 25 maggio 2018 e sostituirà le normative vigenti nei vari stati membri dell’UE.

A chi si applica.

A qualunque organizzazione, di qualunque tipo e dimensione e ovunque abbia sede, che tratti dati personali di cittadini dell’UE. Questo vuol dire che qualunque azienda che detenga o manipoli informazioni su cittadini EU si dovrà adeguare a quanto previsto dalla GDPR.

Ampliamento della nozione di dati personali.
Il GDPR allarga il perimetro dei dati che vengono considerati “personali”. Le tipologie di dati oggetto di tutela da parte del GDPR includono i dati identificativi dell’identità genetica, psichica, economica, culturale o sociale. Le aziende oggetto della normativa dovranno prendere adeguate misure per ridurre la quantità di informazioni personali da loro detenute e per garantire di non memorizzare le informazioni per un tempo più lungo del necessario.

Obbligo di dotarsi di un Data Protection Officer (DPO).

Il GDPR prevede che tutti gli enti pubblici devono nominare un responsabile della protezione dei dati (DPO). Un DPO sarà richiesto inoltre laddove le attività principali del “controller” o del “processore” di dati prevedano “un monitoraggio regolare e sistematico su larga scala delle persone interessate”, o qualora l’organizzazione svolga attività di elaborazione su larga scala di “categorie particolari di dati personali”. Nella sostanza sono escluse da tale obbligo solo le imprese il cui core business non sia l’elaborazione dei dati. Il GDPR non traccia un profilo preciso dei responsabili della protezione dei dati, ma richiede che abbiano una “conoscenza approfondita della normativa sulla protezione dei dati e delle pratiche connesse”. Uno studio della International Association of Privacy Professionals (IAPP) stima che, in conseguenza dell’adozione del GDPR in Europa nei prossimi 2 anni vi sarà bisogno di 28.000 DPO .

Obbligo di notifica entro 72 ore di una violazione dei dati.

I “data controller” titolari del trattamento saranno tenuti a segnalare violazioni dei dati al Garante del Trattamento dei Dati, a meno che sia improbabile che esse rappresentino un rischio per i diritti e le libertà delle persone interessate. La notifica deve essere fatta entro 72 ore dal momento in cui il Titolare del Trattamento venga a conoscenza di tali violazioni, a meno che non ci sono circostanze eccezionali, che dovranno essere giustificate. Vigerà altresì l’obbligo di notifica ai soggetti i cui dati siano stati violati, qualora la loro privacy sia a rischio. Non sono indicati termini temporali per la notifica stessa.

Le sanzioni.

Sono molto pesanti, in grado di compromettere il futuro delle aziende più piccole o meno solide. Le sanzioni previste dal GDPR per i trasgressori possono arrivare al maggiore fra €20 Milioni e il 4% del giro d’affari globale. Va da sè che per aziende che lavorano con margini molto ridotti, il 4% del giro d’affari può essere una sanzione insostenibile. È assolutamente prioritario quindi per qualsiasi azienda adeguarsi il prima possibile.

Iscriviti alla nostra newsletter

Condividi il post