Che cos’è il GDPR
La sigla GDPR sta per General Data Protection Regulation ed è un regolamento europeo che tutela i dati e la privacy che è entrato in vigore a tutti gli effetti ormai dal 25 maggio 2018.
Questo regolamento è formato da ben 99 articoli e si rivolge a quelli che in generale vengono definiti come i ‘titolari dei trattamenti’, cioè sia soggetti privati sia e soprattutto le aziende che gestiscono dati e informazioni sensibili.
Lo scopo è quello di tutelare il diritto al controllo delle informazioni che ci riguardano.
Alcuni degli articoli che compongono il regolamento sono del tutto innovativi perchè introducono questioni mai trattate prima, come il diritto all’oblio con il quale gli utenti possono richiedere la rimozione di alcuni dati e informazioni che li riguardano, il diritto alla portabilità dei dati per cui è possibile trasferire informazioni e dati da una piattaforma all’altra senza nessun vincolo e l’obbligo che le aziende hanno alla notifica, cioè alla comunicazione entro 72 ore da parte delle imprese che subiscono delle fughe di notizie sensibili.
Come è possibile adeguarsi al GDPR
Per le aziende non è difficile adeguarsi al GDPR e applicarlo a tutti gli effetti. E’ infatti sufficiente seguire una semplice serie di procedure per essere sicuri di non trasgredirlo.
Innanzitutto le aziende hanno l’obbligo di chiedere ai diversi soggetti il consenso alla raccolta e al trattamento dei loro dati in maniera chiara, semplice e comprensibile.
Questo significa che vengono abolite le vecchie informative che venivano proposte, tutte lunghissime e di difficile comprensione per la maggior parte delle persone.
Le imprese sono tenute anche ad istituire un proprio registro delle attività dove vengono elencate le finalità per cui vengono elaborati i dati, il periodo temporale per il quale i dati stessi verranno conservati e quindi i termini oltre cui verranno cancellati ed eliminati e i destinatari specifici dei dati trattati. Secondo l’Articolo 37, poi, deve essere specificatamente designato e identificato un responsabile per il trattamento dei dati.
Il titolare dell’azienda deve anche identificare al suo interno o tramite un consulente esterno un data protection officer, cioè un soggetto incaricato e deputato al controllo dell’applicazione reale del GDPR da parte del responsabile o del titolare dell’azienda stessa.
Da non sottovalutare è poi l’istituzione della procedura da mettere in atto nel caso in cui vi sia un ‘data beach’, cioè una fuga dei dati conservati.
In questo caso, entro 72 ore dal momento in cui si scopre questa fuga di informazioni, deve esserci comunicazione della problematica alle autorità competenti. Si è dispensati da questa comunicazione solo ed esclusivamente se è del tutto improbabile che la violazione delle informazioni personali sia un rischio per la libertà e i diritti dei diversi soggetti.
Cosa succede ad un’azienda se non applica in maniera corretta il GDPR
Se un’azienda non applica in maniera corretta tutti gli articoli che costituiscono il GDPR scattano i immediatamente le sanzioni che sono davvero molto elevate.
Le multe sono state suddivise in due scaglioni che dipendono fondamentalmente dalla gravità del principio leso.
Quelle più leggere sono pari a 10 milioni di euro o al 2% del fatturato aziendale se i i principi lesi sono quelli secondari, come ad esempio la presenza di misure di protezione e sicurezza dei dati non sufficienti o carenti per alcuni aspetti, mentre quelle maggiori sono pari a 20 milioni di euro o al 4% del fatturato aziendale annuo se vengono ignorati i principi fondamentali del GDPR.
Esempi di trasgressioni maggiori sono la non applicazione del diritto all’oblio dei proprio dati personali da parte di un soggetto o la mancanza della richiesta di consenso in maniera chiara e univoca del trattamento delle proprie informazioni.
All’inizio si pensava che l’Italia avrebbe concesso un periodo di adattamento di sei mesi, ma così non è stato.
Chi non si è ancora adeguato al GDPR o vuole comunque avere la certezza di applicarlo in maniera corretta si può rivolgere a tutti quei consulenti che offrono la loro competenza e professionalità per dare un supporto alle imprese sia nell’implementazione del nuovo sistema, sia nella formazione e assistenza ai dipendenti.
Per saperne di più, leggi qui.