+39 080 5227462    +39 080 2142163
segreteria.slr@didiritto.it

Il GDPR opportunità di crescita o adempimento burocratico?

Avv. Danilo Piscopo

Il GDPR opportunità di crescita o adempimento burocratico?

Il Regolamento Generale sulla protezione dei dati (GDPR – General Data Protection Regulation http://194.242.234.211/documents/10160/0/Regolamento+UE+2016+679.+Con+riferimenti+ai+considerando ) diventerà applicabile il 25 maggio 2018 in tutti i Paesi membri dell’Unione Europea. Il Regolamento impone obblighi stringenti sul trattamento e la gestione dei dati dei cittadini europei.

A meno di 2 mesi dalla data di applicabilità del GDPR (il Regolamento è già vigente dal 24 maggio 2016), una percentuale elevatissima di imprese non hanno avviato alcun tipo di preparazione per soddisfare gli standard minimi del Regolamento.

Cos’è il GDPR?

Il GDPR, adottato dal Parlamento Europeo nell’aprile 2016, ha armonizzato le disposizioni di legge nazionali, disponendo un rafforzamento della protezione dei dati, coerentemente con le attuali preoccupazioni sulla tutela della privacy, attraverso norme che devono essere rispettate sia dalle aziende con sede nell’Unione Europea sia da quelle che, pur avendo sede al di fuori della UE, elaborano dati riferibili ai cittadini di uno Stato membro.

Le violazioni del GDPR comportano pene severe, con multe fino a 20 milioni di euro o del quattro per cento del fatturato globale, se superiore.

GDPR: cosa temono le aziende

Secondo recenti sondaggi, quasi il 40 per cento delle imprese teme di non essere conforme ai nuovi regolamenti, mentre poco meno di un terzo (31 per cento) è preoccupato per i danni alla reputazione del brand causati da politiche sui dati poco coerenti.

GDPR: Cosa fare per adempiere alla norma

Le aziende sono chiamate a rivedere i propri sistemi di gestione dei dati all’interno dell’organizzazione, prevenire la perdita dei dati e la loro condivisione.

Quali azioni? Come detto, il primo step sarà l’analisi della situazione aziendale. Per questo sarà indispensabile effettuare un’attività di Audit così da poter avere un quadro della situazione attuale dell’organizzazione, e delle relative criticità da risolvere. Il primo adempimento da porre in essere è senz’altro l’adozione del Registro dei trattamenti di dati personali. Questo adempimento non rappresenta un mero adempimento formale assimilabile al vecchio DPS, dal momento che con l’introduzione del registro l’azienda deve comprendere l’importanza e il valore dei dati, nonché agli ingenti danni economici legati a una perdita di informazione.

Dopo una prima valutazione occorrerà adempiere gli obblighi previsti dalla norma

Ecco 6 importanti principi introdotti dal GDPR:

1) Raccogliere e proteggere i dati personali nel modo corretto

Il consenso dell’interessato al trattamento dei dati personali dovrà essere, come oggi, preventivo e inequivocabile, anche quando espresso attraverso mezzi elettronici (ad esempio, selezionando un’apposita casella in un sito web). Per trattare i dati sensibili, il Regolamento prevede che il consenso deve essere anche «esplicito». Deve essere offerta la possibilità di modificarli o cancellarli in qualsiasi momento.

2) Privacy by Design

Qualsiasi progetto (sia strutturale sia concettuale) dei sistemi informatici va realizzato considerando dalla progettazione (appunto by design) la riservatezza e la protezione dei dati personali

3) Breach notification

La notifica al Garante  di una qualunque violazione dei dati deve essere effettuata entro 72 ore dal momento in cui ci si è resi conto della violazione e i clienti sono tenuti ad essere informati “senza ritardi ingiustificati” nei casi previsti dal regolamento.

4) Nomina di un Data Protection Officer (DPO) istituita in ogni azienda nei casi previsti dal Regolamento

5) Anonimizzazione e pseudonimizzazione

Termini che diverranno di uso comune nei processi che mirano a trarre analisi statistica dai dati personali e riguardano le metodiche di rescissione definitiva del legame tra la persona e i dati.

6) Obbligo di formazione del personale

Si prevede l’obbligo della formazione per le pubbliche amministrazioni e le imprese in materia di protezione dei dati personali per tutte le figure presenti nell’organizzazione (sia dipendenti sia collaboratori), che a vario titolo saranno chiamate a trattare i dati personali sia in qualità di responsabili che di incaricati


Leave a Reply