Menu Chiudi

Cos’è GDPR? Tutto ciò che devi sapere sulle nuove norme generali della protezione dei dati

Il regolamento generale sulla protezione dei dati, o GDPR, sta arrivando.  Ecco cosa significa, come influirà sulle persone e le imprese e su come prepararsi.

Disclaimer: nulla su questo sito web dovrebbe essere considerato consulenza legale.

 

Cosa significa GDPR?

Regolamento generale sulla protezione dei dati.

 

Perché il GDPR?

Nel gennaio 2012, la Commissione europea ha definito un piano per la riforma della protezione dei dati in tutta l’Unione europea al fine di rendere l’Europa “adatta all’era digitale”. Quasi quattro anni dopo, è stato raggiunto un accordo su ciò che è coinvolto e su come sarà applicato.

Una delle componenti chiave della riforma è l’introduzione del regolamento generale sulla protezione dei dati (GDPR). Questo nuovo quadro dell’UE si applica alle organizzazioni di tutti gli Stati membri e ha implicazioni per le imprese e per i privati ​​di tutta Europa e oltre .

“Il futuro digitale dell’Europa può essere costruito solo sulla fiducia. Con solidi standard comuni per la protezione dei dati, le persone possono essere sicure di avere il controllo delle proprie informazioni personali “, ha affermato Andrus Ansip, vicepresidente per il mercato unico digitale, parlando quando le riforme sono state concordate nel dicembre 2015 .

 

Cos’è il GDPR?

Al suo interno, il GDPR ha una nuova serie di regole progettate per dare ai cittadini dell’UE un maggiore controllo sui loro dati personali. Mira a semplificare il contesto normativo per le imprese in modo che sia i cittadini che le imprese nell’Unione europea possano beneficiare appieno dell’economia digitale.

La riforma è progettata per riflettere il mondo in cui viviamo ora e promuovono leggi e obblighi, compresi quelli relativi ai dati personali, alla privacy e al consenso, in tutta Europa.

Fondamentalmente, quasi ogni aspetto della nostra vita ruota intorno ai dati . Dalle società di social media, alle banche, ai rivenditori e ai governi, quasi tutti i servizi che utilizziamo comprendono la raccolta e l’analisi dei nostri dati personali. Il tuo nome, indirizzo, numero di carta di credito e altro ancora tutti raccolti, analizzati e, forse la cosa più importante, archiviati dalle organizzazioni.

 

Qual è la conformità al GDPR?

Le violazioni dei dati avvengono inevitabilmente. Le informazioni vengono perse, rubate o altrimenti lasciate nelle mani di persone che non potrebbero accedere ad esse, e spesso queste persone hanno intenzioni malevole.

Secondo i termini del GDPR, non solo le organizzazioni devono garantire che i dati personali siano raccolti legalmente e in condizioni rigorose, ma coloro che li raccolgono e gestiscono saranno obbligati a proteggerli da un uso improprio , nonché a rispettare i diritti di proprietari dei dati – o affrontare sanzioni per non farlo.

 

A chi si rivolge il GDPR?

Il GDPR si applica a qualsiasi organizzazione che opera all’interno dell’UE, nonché a qualsiasi organizzazione al di fuori dell’UE che offre beni o servizi a clienti o aziende nell’UE. Ciò significa che quasi tutte le grandi aziende del mondo dovranno essere pronte quando il GDPR entrerà in vigore e dovranno iniziare a lavorare sulla loro strategia di conformità GDPR.

 

Quali sono i dati personali ai sensi del GDPR?

I tipi di dati considerati personali ai sensi della legislazione esistente includono nome, indirizzo e foto. GDPR estende la definizione di dati personali in modo che anche un indirizzo IP possa essere considerato un dato personale. Include anche dati personali sensibili come dati genetici e dati biometrici che potrebbero essere elaborati per identificare un individuo in modo univoco.

 

Quando entrerà in vigore GDPR?

Il GDPR si applicherà in tutta l’Unione europea dal 25 maggio 2018 e tutti i paesi membri dovranno trasferirlo nella propria legislazione nazionale entro il 6 maggio 2018.

Dopo quattro anni di preparazione e dibattito, il GDPR è stato approvato dal Parlamento europeo nell’aprile 2016 e i testi ufficiali e il regolamento della direttiva sono stati pubblicati in tutte le lingue ufficiali dell’UE nel maggio 2016.

 

Qual è la scadenza della conformità GDPR?

A partire dal 25 maggio 2018, tutte le organizzazioni dovrebbero essere conformi al GDPR.

 

Cosa significa GDPR per le aziende?

Il GDPR stabilisce una legge in tutto il continente e un unico insieme di regole che si applicano alle imprese che operano all’interno degli Stati membri dell’UE. Ciò significa che la portata della legislazione si estende oltre i confini dell’Europa stessa, come organizzazioni internazionali situate al di fuori della regione ma con l’attività sul “suolo europeo” dovrà ancora essere rispettata.

 

Cosa significa GDPR per consumatori / cittadini?

Uno dei principali cambiamenti che GDPR porterà è fornire ai consumatori il diritto di sapere quando i loro dati sono stati violati. Le organizzazioni saranno tenute a notificare quanto prima agli organismi nazionali competenti queste violazioni, al fine di garantire che i cittadini dell’UE possano adottare misure appropriate per impedire che i loro dati vengano abusati.

Ai consumatori viene inoltre promesso un accesso più semplice ai propri dati personali in termini di modalità di elaborazione, con le organizzazioni che hanno dichiarato di dover dettagliare in che modo utilizzano le informazioni sui clienti in modo chiaro e comprensibile.

In queste circostanze, il cliente dovrebbe avere un modo semplice per escludere i propri dettagli da una mailing list. Nel frattempo, alcuni altri settori sono stati avvertiti che hanno ancora molto da fare per garantire la conformità GDPR, specialmente quando è richiesto il consenso .

Il GDPR è anche destinato a portare un processo di ” diritto all’oblio ” chiarito, che offre diritti e libertà aggiuntivi a coloro che non desiderano più che i loro dati personali siano elaborati per farlo eliminare, a condizione che non vi siano motivi per mantenerlo.

Le organizzazioni dovranno tenere a mente questi diritti dei consumatori una volta che GDPR entrerà in vigore.

 

Che cos’è una notifica di violazione GDPR?

Una volta che GDPR entrerà in vigore, introdurrà un obbligo per tutte le organizzazioni di segnalare alcuni tipi di violazioni dei dati che comportano l’accesso non autorizzato o la perdita di dati personali all’autorità di vigilanza pertinente. In alcuni casi, le organizzazioni devono anche informare le persone colpite dalla violazione.

Le organizzazioni saranno obbligate a segnalare eventuali violazioni che potrebbero comportare un rischio per i diritti e le libertà delle persone e portare a discriminazione, danni alla reputazione, perdita finanziaria, perdita di riservatezza o qualsiasi altro svantaggio economico o sociale.

In altre parole, se viene violato il nome, l’indirizzo, i dati di nascita, i dati sanitari, le coordinate bancarie o qualsiasi dato privato o personale sui clienti, l’organizzazione è obbligata a comunicare agli interessati e all’organismo di regolamentazione in modo tale che tutto il possibile possa essere fatto per limitare il danno.

Questo dovrà essere fatto tramite una notifica di violazione, che deve essere consegnata direttamente alle vittime. Queste informazioni potrebbero non essere comunicate solo in un comunicato stampa, sui social media o sul sito web aziendale. Deve essere una corrispondenza uno-a-uno con le persone colpite.

 

Quando un’organizzazione deve notificare una violazione?

La violazione deve essere segnalata all’organo di vigilanza competente entro 72 ore dall’organizzazione che ne viene a conoscenza. Nel frattempo, se la violazione è abbastanza seria da significare che i clienti o il pubblico devono essere informati, la legislazione GDPR afferma che i clienti devono essere resi responsabili senza “indebiti ritardi”.

 

Quali sono le multe e le sanzioni del GDPR per non conformità?

Il mancato rispetto del GDPR può comportare una sanzione pecuniaria da 10 milioni di euro al quattro per cento del fatturato globale annuale della società, una cifra che per alcuni potrebbe significare miliardi.

Le multe dipenderanno dalla gravità della violazione e dal fatto che si ritenga che la società abbia adottato in modo sufficientemente serio la conformità e i regolamenti relativi alla sicurezza.

La multa massima di 20 milioni di euro o il quattro percento del fatturato mondiale, a seconda di quale sia maggiore, riguarda le violazioni dei diritti delle persone interessate, il trasferimento internazionale non autorizzato di dati personali e l’omissione di procedure per o l’ignoranza delle richieste di accesso per i loro dati.

Una multa inferiore a 10 milioni di euro o al 2% del fatturato mondiale verrà applicata alle società che gestiscono in modo errato i dati in altri modi. Includono, ma non sono limitati a, mancata segnalazione di una violazione dei dati, mancato inserimento della privacy in base alla progettazione e garanzia che la protezione dei dati sia applicata nella prima fase di un progetto e sia conforme nominando un responsabile della protezione dei dati – qualora l’organizzazione essere uno di quelli richiesti da GDPR.

 

Cosa contiene una notifica di violazione conforme a GDPR?

In caso di perdita di dati da parte di un’azienda, a causa di un attacco informatico, di un errore umano o di qualsiasi altra cosa, la società sarà obbligata a fornire una notifica di violazione.

Ciò deve includere dati approssimativi sulla violazione, comprese le categorie di informazioni e il numero di persone compromesse a seguito dell’incidente e le categorie e il numero approssimativo di record di dati personali interessati. Quest’ultimo prende in considerazione come possano esserci più insiemi di dati relativi a un singolo individuo.

Le organizzazioni dovranno inoltre fornire una descrizione delle potenziali conseguenze della violazione dei dati, quali furto di denaro o frode sull’identità, e una descrizione delle misure adottate per affrontare la violazione dei dati e per contrastare eventuali impatti negativi che potrebbe essere affrontato da individui.

Dovranno inoltre essere forniti i dettagli di contatto del responsabile della protezione dei dati o il principale punto di contatto che si occupa della violazione.

 

Quando è necessario nominare un responsabile della protezione dei dati?

Secondo i termini del GDPR, un’organizzazione deve nominare un responsabile della protezione dei dati (DPO) se esegue un’elaborazione su vasta scala di speciali categorie di dati, effettua il monitoraggio su vasta scala di individui come il monitoraggio del comportamento o è un’autorità pubblica.

Nel caso delle autorità pubbliche, è possibile nominare un unico responsabile della protezione dei dati in un gruppo di organizzazioni. Sebbene non sia obbligatorio per organizzazioni al di fuori di quelle sopra nominare un responsabile della protezione dei dati, tutte le organizzazioni dovranno assicurarsi di disporre delle competenze e del personale necessari per essere conforme alla legislazione GDPR.

Non ci sono criteri stabiliti su chi dovrebbe essere un DPO o quali qualifiche dovrebbero avere, ma secondo l’ufficio del Commissario responsabile delle informazioni, dovrebbero avere esperienza professionale e legislazione sulla protezione dei dati proporzionata a ciò che l’organizzazione svolge.

La mancata nomina di un responsabile della protezione dei dati, se richiesto da GDPR, potrebbe essere considerata come non conformità e comportare una sanzione.

 

Come si presenta la conformità al GDPR?

Il GDPR potrebbe sembrare complesso, ma la verità è che la legislazione sta consolidando i principi che attualmente fanno parte del Data Protection Act.

Tuttavia, vi sono elementi del GDPR come la notifica di violazione e la garanzia che qualcuno sia responsabile della protezione dei dati che le organizzazioni devono affrontare o correre il rischio di una sanzione.

Non esiste un approccio “one size fits all” alla preparazione per GDPR . Piuttosto, ogni azienda dovrà esaminare che cosa esattamente deve essere raggiunto per conformarsi e chi è il responsabile del trattamento dei dati che si è assunto la responsabilità di garantire che ciò accada.

“Ci si aspetta che vengano messe in atto misure di governance complete ma proporzionate”, afferma l’ICO. “In definitiva, queste misure dovrebbero ridurre al minimo il rischio di violazioni e sostenere la protezione dei dati personali. In pratica, questo probabilmente significherebbe più politiche e procedure per le organizzazioni, anche se molte organizzazioni avranno già delle buone misure di governance. “

Potrebbe essere la responsabilità di un individuo in una piccola impresa, o anche di un intero reparto in una multinazionale. In ogni modo, budget, sistemi e personale dovranno essere considerati per farlo funzionare.

In base alle disposizioni del GDPR che promuovono la responsabilità e la governance, le aziende devono attuare misure tecniche e organizzative adeguate. Questi potrebbero includere disposizioni sulla protezione dei dati (formazione del personale, audit interni delle attività di elaborazione e revisioni delle politiche in materia di risorse umane), nonché la documentazione sulle attività di trattamento. Altre tattiche che le organizzazioni possono considerare includono la minimizzazione dei dati e la pseudonimizzazione, o che consentono alle persone di monitorare l’elaborazione, ha detto l’ICO.

Nella preparazione al GDPR, enti come l’ICO offrono orientamenti generali su ciò che dovrebbe essere considerato . Tutte le organizzazioni dovranno assicurarsi di aver effettuato tutte le necessarie valutazioni d’impatto e che il GDPR si sia attenuto al 25 maggio 2018 o rischiano di cadere a causa delle nuove direttive.

 

Cosa è cambiato con il GDPR ?

A partire dal 25 maggio, nei i giorni e le settimane precedenti al suo verificarsi di un aumento delle aziende che inviano e-mail ai clienti che chiedono loro di aderire a nuove norme sulla privacy e sul consenso. Le e-mail sono arrivate così fitte e veloci nelle ultime 24 ore, che molti utenti della rete si sono sentiti sopraffatti.

In vista della data, alcune organizzazioni e piattaforme hanno semplicemente chiuso le operazioni

Negare agli utenti l’accesso ai prodotti – almeno per il momento – viene visto da molti come un prezzo che vale la pena pagare per evitare potenziali multe.  Anche se alcuni farebbero la domanda, che cosa stavano facendo con i dati degli utenti e che consenso avevano?