Cos’è il GDPR 2018-12-13T12:15:55+00:00

Il GDPR, General Data Protection Regulation, è il nuovo Regolamento UE 2016/679 relativo alla protezione e tutela dei dati personali, obbligatorio in tutti gli stati UE già dal 25 maggio 2018.

È stato introdotto con l’intento di disciplinare il modo in cui soggetti terzi (imprese, enti, liberi professionisti) elaborano, memorizzano e distruggono i dati personali dei cittadini europei.

Il loro uso indiscriminato e la mancanza delle adeguate procedure di controllo prevede un sistema di sanzioni fino a 20 milioni di euro o pari al 4% del fatturato globale.

Per dati personali si intende: “qualunque informazione relativa a un individuo, collegata alla sua vita privata, professionale o pubblica. Può riguardare qualunque informazione : foto, indirizzi email, dettagli bancari, social network, informazioni mediche, indirizzi IP di computer, etc.”

Il nuovo regolamento attribuisce alle figure di Titolare e Responsabile del Trattamento obblighi ulteriori rispetto a quanto previsto dalla Direttiva 95/46 e dal Codice Privacy.
Con il nuovo regolamento, il Titolare è chiamato a ricoprire un ruolo più pro-attivo finalizzato non solo al rispetto delle regole, ma anche al raggiungimento della conformità attraverso l’adozione delle giuste misure tecnico-organizzative.

A tutte le organizzazioni inclusi enti pubblici, associazioni, imprese private e studi professionali, che a vario titolo trattano dati classificabili come “dati personali” di cittadini europei.

Il GDPR interessa praticamente tutte le strutture, che si devono organizzare quanto prima per verificare il proprio sistema informativo, il sito internet, il sistema cartaceo, i documenti e la gestione dei flussi dati cartacei, nonché fornire l’adeguata formazione a dipendenti e i collaboratori.

Il regolamento oltre ad interessare le aziende europee incide anche sulle aziende extra-europee che si relazionano con clienti europei.

È entrato in vigore il 24 maggio 2016 ed ha come termine ultimo di adeguamento il 25 maggio 2018. Le aziende che si rendono conformi al GDPR oltre la data indicata, possono incorrere in sanzioni davvero elevate (fino al 4% del fatturato mondiale).

Il nuovo regolamento prevede che, a partire dalla data del 25 maggio 2018,  l’autorità di controllo possa imporre delle sanzioni amministrative e penali, tenendo conto di determinati indici, quali: la natura, la gravità e la durata della violazione, il carattere doloso o colposo della stessa e le misure di prevenzione adottate dal Titolare.

Il Titolare del Trattamento è tenuto alla dimostrazione con prove documentali della piena conformità al regolamento. Il Titolare del trattamento infatti è colui che determina le finalità e i mezzi del trattamento, ed è il responsabile dei rischi inerenti ai diritti e alle libertà delle persone fisiche: deve pertanto dimostrare di aver adottato le misure adeguate per garantire che il trattamento sia effettivamente conforme al Regolamento.

Per data Breach si intende una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati da un titolare di dati. Il Titolare ha l’obbligo di notifica (entro 72 ore) all’Autorità competente e agli utenti interessati in caso di eventuali fughe o compromissioni di dati.

Protezione dei dati già in fase di progettazione (by Design) per qualsiasi tipo di progetto che comporti l’utilizzo di dati personali (sito internet, software, ambiente di lavoro…).

Adozione di opportune misure per la corretta gestione dei dati necessari in ottica GDPR in ogni fase del Trattamento (dalla raccolta alla cancellazione, non soltanto durante l’elaborazione).

Il DPO è il soggetto a cui il Titolare, o il Responsabile, si affida per garantire la conformità dell’organizzazione ai requisiti del Regolamento.

Casi obbligatori di nomina

Amministrazioni ed Enti pubblici;

tutti i soggetti la cui attività principale consiste in trattamenti che per la loro natura, il loro oggetto o le loro finalità, richiedono un controllo periodico degli interessati oppure se l’attività principale del titolare implicherà un trattamento su larga scala di dati sensibili.

GDPR - General Data Protection Regulation
Capire il GDPR
GDPR - General Data Protection Regulation
About GDPR
GDPR - General Data Protection Regulation
How do I start?
GDPR - General Data Protection Regulation
Il GDPR svelato
GDPR - General Data Protection Regulation
GDPR: Info
GDPR - General Data Protection Regulation
GDPR: a structured approach