General Data Protection Rules ( GDPR )

General Data Protection Rules ( GDPR )

  • Posted by netech
  • On 28 luglio 2016

General Data Protection Rules sulla SICUREZZA dei dati (GDPR)

25955822_s

General Data Protection Rules – La tua azienda è preparata per la nuova normativa europea sulla SICUREZZA dei dati?

 

Le aziende hanno l’obbligo di comunicare e notificare la violazione dei dati all’ente predisposto altrimenti è prevista una sanzione fino al 4% del fatturato!

Dopo anni di trattative, il Consiglio Europeo, il Parlamento Europeo e la Commissione Europea, il 15 dicembre 2015, hanno raggiunto un accordo riguardo al testo di un nuovo Regolamento Generale sulla Protezione dei Dati (in inglese GDPRGeneral Data Protection Rules), la cui prima proposta risale al gennaio del 2012. Pubblicato sulla Gazzetta Ufficiale dell’Unione Europea n. 119 del 4 Maggio 2016 ed entrato in vigore il 24 Maggio 2016, il Regolamento è direttamente applicabile all’interno degli ordinamenti degli Stati Membri dell’Unione senza la necessità per ciascuno di essi di dover adottare provvedimenti interni necessari per il suo recepimento, a differenza delle Direttive che invece devono essere trasposte nei sistemi legislativi nazionali. Il General Data Protection Rules, che sostituisce la direttiva 95/46/EC, mira a creare un unico quadro normativo per il trattamento dei dati, applicabile sia agli enti pubblici che agli enti privati di tutti gli stati membri dell’Unione e tutti dovranno adeguarsi entro il 25 Maggio 2018.

I titolari di aziende e imprese hanno meno di due anni per adeguarsi al nuovo regolamento General Data Protection Rules!

Cosa fare ora

ottimaproduttivita

Chiamare Netech per iniziare a rivedere sin d’ora, con i suoi esperti legali in data protection, i privacy officer, e i tecnici esperti di sicurezza informatica, le politiche di elaborazione e tutela dei dati esistenti, i processi di protezione dei dati, le misure di sicurezza adottate ed i livelli di sicurezza dell’infrastruttura per valutare l’impatto che il GDPR avrà sull’attività dell’impresa.

Mesi a disposizione per adeguarsi

10 cose da sapere

  • 1. Aumento dell’ambito di applicazione

    Le nuove regole non saranno applicabili soltanto alle società che hanno sede in Europa, ma a tutte le società che offrono i loro beni e servizi nell’Unione Europea o effettuino attività di monitoraggio del comportamento degli interessati (cd. Targeting, profilazione). Pertanto, anche le società che hanno sede in stati terzi, come Google e Amazon, dovranno ottemperare al General Data Protection Rules .

  • 2. One-stop-shop

    Le società che operano in diversi stati dell’Unione Europea non saranno più sottoposte alla vigilanza delle Autorità di Vigilanza di tutti gli stati in cui operano (come avviene attualmente), ma saranno sottoposte soltanto all’Autorità di Vigilanza dello stato in cui hanno la propria sede legale. L’autorità competente sarà responsabile del coordinamento di tutti i procedimenti. Tale meccanismo, cosiddetto one-stop-shop, ha lo scopo di aiutare le imprese, nonché di agevolare il trasferimento transfrontaliero dei dati.

  • 3. Il Privacy Officer

    I titolari del trattamento dei dati, la cui attività consiste nel monitoraggio regolare e sistematico su larga scala di soggetti interessati al trattamento (es. mediante targeting o profilazione online), o che trattano dati sensibili (es. sanitari, vita sessuale, razza, opinioni politiche religiose sindacali, dati biometrici), o che sono enti pubblici, dovranno nominare un Privacy Officer.

  • 4. Consenso

    Il General Data Protection Rules prevede un approccio basato sul consenso, il che significa che di regola per il trattamento dei dati personali serve il consenso prestato in forma non ambigua da parte dell’interessato del trattamento. Per tale ragione la persona interessata del trattamento dei dati deve prestare in maniera espressa e libera il proprio consenso, a seguito di una adeguata informativa. Per il trattamento di particolari categorie di dati, quali sono i dati sensibili, il consenso dovrà essere prestato in maniera espressa. Quando gli interessati al trattamento sono persone di età inferiore ai 16 anni, il consenso dovrà essere prestato dal loro genitori. Gli stati membri possono ridurre fino a 13 anni l’età per cui è richiesto il consenso dei genitori.

  • 5. Portabilità dei dati e il diritto di essere dimenticati

    Il General Data Protection Rules prevede il diritto degli interessati di trasferire i loro dati personali da un fornitore del servizio ad un altro.
    Inoltre, postula il diritto ad essere dimenticati. In particolare gli interessati del trattamento dei dati hanno il diritto di chiedere ai titolari del trattamento dei dati di cancellare i propri dati quando non sono più necessari in relazione allo scopo per cui furono raccolti e trattati o nei casi in cui gli interessati del trattamento abbiano revocato il proprio consenso in relazione al trattamento.

  • 6. Privacy by design e by default

    Attraverso l’utilizzo di appropriate misure tecniche ed organizzative (ad es. pseudoanonimizzazione, cifratura) i titolari del trattamento devono garantire che i dati personali siano trattati soltanto nella misura necessaria per soddisfare uno scopo specifico; per impostazione predefinita i dati personali non dovrebbero essere raccolti o conservati oltre il minimo necessario (minimizzazione dei dati). In molti casi le società dovranno adottare “valutazioni di impatto sulla protezione dati”.

  • 7. Responsabilità dei titolari del trattamento dati

    In base al nuovo quadro normativo i titolari sono direttamente responsabili per le violazioni fatte da terzi. Pertanto devono dimostrare di adempiere alla normativa, adottando misure di sicurezza idonee, valutando i rischi (“privacy assessment”), facendo una gap analysis, determinando le misure da adottare, nominando gli incaricati e il privacy officer e compiendo un’accurata valutazione d'impatto della protezione dei dati.

  • 8. Notificazioni non più necessarie

    Mentre attualmente in alcuni Stati Membri, come in Italia, i responsabili del trattamento dei dati sono tenuti a registrare o notificare alle autorità nazionali di vigilanza le attività da loro svolte, con l’entrata in vigore del General Data Protection Rules tale attività non è più necessaria. In ogni caso i titolari dovranno tenere un registro per annotare le attività da loro svolte.

  • 9. Notifica della violazione dei dati

    In caso di violazione dei dati personali (“data breach”), ad es. da hacker o in caso di perdita, il titolare del trattamento è tenuto a informare l’autorità nazionale di vigilanza senza ritardo e quando è possibile entro 72 ore da quando è stata commessa la violazione.

  • 10. Sanzioni amministrative più alte

    Con il nuovo regolamento le sanzioni amministrative sono aumentate e non è previsto alcun limite fisso per quanto riguarda le sanzioni pecuniarie in caso di violazione dei dati personali. Le sanzioni possono raggiungere il 4% del fatturato annuo globale di una società in relazione ad ogni violazione. Pertanto in futuro potranno essere sanzionate milioni di società che dovessero rendersi responsabili della violazione dei dati personali.

Cosa fare ora

ottimaproduttivita

Chiamare Netech per iniziare a rivedere sin d’ora, con i suoi esperti legali in data protection, i privacy officer, e i tecnici esperti di sicurezza informatica, le politiche di elaborazione e tutela dei dati esistenti, i processi di protezione dei dati, le misure di sicurezza adottate ed i livelli di sicurezza dell’infrastruttura per valutare l’impatto che il GDPR avrà sull’attività dell’impresa.

“REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”

  • Pubblicato sulla GUUE n. 119 del 4 Maggio 2016
  • Entrato in vigore il 24 Maggio 2016
  • Applicabile a partire dal 25 Maggio 2018

In quanto Regolamento, è valido ed efficace in tutti i Paesi Membri UE (a differenza delle Direttive che invece devono essere trasposte nei sistemi legislativi nazionali)