Go to Top

Il Regolamento Europeo per la Protezione dei Dati Personali è legge – 8 cose che dovreste fare per prepararvi alle nuove direttive

Regolamento Europeo per la Protezione dei Dati Personali

Con l’approvazione da parte del Parlamento Europeo lo scorso 14 aprile del Regolamento Europeo per la Protezione dei Dati Personali (GDPR – Global Data Protection Regulation) questo è divenuto legge per tutte le aziende che operano in quasi tutti gli stati membri dell’Unione Europea (la Gran Bretagna e la Danimarca hanno negoziato su diversi aspetti in materia di giustizia e affari interni – la regolamentazione in questi stati avrà delle limitazioni). Per tutti gli altri stati membri il GDPR è ora valido e le sue regole entreranno in vigore a partire dal 25 maggio 2018 – poco più di 2 anni dopo la sua pubblicazione sulla Gazzetta Ufficiale UE.

Poichè il GDPR non è una direttiva ma un regolamento vero e proprio non c’è necessità di effettuare un adattamento nelle leggi nazionali locali- nonostante questo, però, saranno diverse le nazioni che con tutta probabilità ne effettueranno l‘adattamento rivedendo quelle che sono le attuali leggi in materia di protezione dei dati e quelle che hanno a  che fare con i dati personali. Si tratta quindi di una legge vincolante per tutti gli stati aderenti. Tutte le aziende dovrebbero utilizzare il tempo a disposizione – 2 anni – per controllare e verificare che le policy e i regolamenti interni sull’elaborazione e la protezione dei dati siano conformi a quanto previsto dalla nuova legge.

Quali sono le innovazioni?

Un’unica legge valida in tutta Europa e per le aziende multinazionali che operano con aziende europee.

I vantaggi e gli svantaggi di questo nuovo regolamento dipendono in larga parte dal paese in cui si trova la vostra azienda. Quasi tutti i paesi Europei e occidentali hanno già nella loro  giurisdizione locale delle leggi in materia di protezione dei dati. Il motivo principale per cui sia il consiglio europeo che il parlamento europeo hanno lavorato insieme per quasi 4 anni – a partire dal 2012 – è legato all’intenzione di entrambi di unificare le leggi nazionali degli stati membri dell’UE in una legge congiunta e efficace su tutti gli stati.  Questo è l’obiettivo che ora hanno raggiunto.

Regole più rigide e multe più elevate

Indipendentemente da quanto alte fossero le sanzioni delle vecchie leggi nazionali quelle previste dal nuovo GDPR saranno davvero ingenti. Così ingenti che nel caso venissero imposte a piccole medie imprese queste organizzazioni potrebbero mettere a rischio la loro stessa esistenza: la penale massima può ammontare fino a 20 milioni di euro e al 4% del fatturato mondiale dell’azienda. Per questo motivo è bene essere conformi alle nuove regole.

I nuovi ambiti di protezione dei dati per le aziende inclusi nel GDPR:

Governance e responsabilità dei dati

Questo è uno degli elementi principali del nuovo regolamento che pone diversi obblighi su coloro che vigileranno sui dati e su coloro che si occuperanno della loro elaborazione per garantire la conformità con il nuovo regolamento. Alcuni di questi obblighi esistono già nella legge tedesca e in quella francese  ma non in tutti gli stati membri.

Ma un elemento, però, è nuovo per tutti:

  • Privacy by design (Art. 25)

Il concetto di  Privacy by design è molto probabilmente uno degli obblighi più importanti con cui le aziende devono confrontarsi con l’entrata in vigore del GDPR. Le aziende dovrebbero adottare delle policy interne e implementare misure tecniche e organizzative che forniscano solo quei dati personali necessari per lo specifico scopo per il quale queste informazioni vengono processate. Inoltre le misure adottate dall’azienda dovrebbero riguardare tutti i dati raccolti, la portata della loro elaborazione, il loro periodo di storage e la loro accessibilità.

Inoltre, i dati non devono essere resi accessibili a persone non coinvolte nel processo o nel progetto!

Violazioni dei dati personali

Il GDPR introduce nuove scadenze circa le tempistiche entro le quali le  autorità nazionali di vigilanza devono essere informate circa le violazioni dei dati. Ora le autorità competenti devono essere informate entro 72 ore.

Diritti dei soggetti interessati

Negli articoli 12 e dal 15 al 23 vengono stabiliti i diritti dei cosiddetti soggetti interessati. Ora a coloro che richiedono che un’azienda non utilizzi i loro dati personali verranno riconosciuti maggiori diritti: questi potranno richiedere all’azienda di cancellare i loro dati personali in determinate circostanze e, nel caso in cui queste informazioni siano state rese pubbliche,  adottare misure ragionevoli per informare le persone addette alla supervisione dei dati che i soggetti coinvolti hanno richiesto la cancellazione di eventuali collegamenti, copie o repliche delle loro informazioni (diritto all’oblio). Questa azione deve essere intrapresa da chi controlla entro 1 mese dalla richiesta o, in caso di questioni più complesse, entro 3 mesi.

8 cose che dovreste iniziare a fare per preparavi al nuovo regolamento.

Questa lista – seppur non esaustiva – mostra chiaramente che le aziende hanno molto su cui lavorare per essere conformi alle  nuove regole. Per questo motivo dovreste seguire questi 8 importanti suggerimenti.

1. Preparatevi in caso di violazione della privacy

Introducete linee guida chiare e metodi di controllo per assicurarvi di essere in grado di rispondere velocemente a casi di violazione dei dati e – se necessario – di informare le autorità  in maniera tempestiva.

2. Stabilite delle politiche sulla responsabilità

Assicuratevi di aver implementato una policy chiara e dettagliata che attesti che tutti gli standard e le richieste siano stati soddisfatti. Stabilite una cultura della sicurezza in relazione al monitoraggio, al controllo e al giudizio delle varie procedure al fine di ridurre al minimo la memorizzazione dei dati e la loro elaborazione.

3. Implementate il concetto di Privacy by design

Assicuratevi che la privacy dei dati sia garantita in ogni processo di elaborazione delle informazioni e all’interno delle soluzioni software in uso. Questo approccio deve essere implementato all’inizio del processo per ottenere una revisione strutturata e una validazione sistematica.

4. Analizzate le basi giuridiche per l’uso dei dati personali

Considerate quali processi di elaborazione dei dati eseguite e verificate  in base a quali principi giuridici utilizzate i dati personali.  Nel caso in cui abbiate un interesse legittimo nell’elaborazione dei dati potreste non avere necessità di avere l’approvazione di ogni singola persona per utilizzare le sue informazioni. Ma è bene che facciate lo stesso un controllo. Se avete bisogno di ricevere l’approvazione dei soggetti interessati verificate che i documenti di approvazione e i form siano corretti , se il consenso viene fornito volontariamente e che le informazioni circa il processo di utilizzo dei dati siano chiare e comprensibili. In caso di dubbio si avrà l’onere della prova.

5. Verificate la vostra policy sulla privacy e le linee guida

Il GDPR presuppone che le informazioni siano fornite in maniera chiara e con un linguaggio semplice. Le vostre policy dovrebbero essere trasparenti e facilmente accessibili.

6. Pensate ai diritti dei soggetti interessati

Siate preparati a rispondere alle richieste che i singoli individui potrebbero porvi per far valere i loro diritti grazie al nuovo GDPR  come ad esempio il diritto all’oblio, alla cancellazione e portabilità dei dati. Se conservate i dati personali verificate che sussistano le ragioni giuridiche per lo storage dei dati personali. Anche in questo caso si ha l’onere della prova nel caso in cui le vostre ragioni dovessero prevaricare gli interessi delle persone.

7. Se siete provider di dati verificate se sono stati introdotti nuovi obblighi

Il nuovo regolamento per la protezione dei dati include alcuni obblighi per i provider di dati che devono essere compresi e integrati nelle vostre policy, nelle vostre procedure e nei vostri contratti. Controllate che i documenti di contratto siano sufficienti e, per i contratti già in essere,verificate chi dovrà sostenere i costi aggiuntivi del servizio causati dalle nuove regolamentazioni. Se siete i destinatari di servizi di elaborazione dati messi in atto da terze parti è molto importante determinare e documentare i reciproci obblighi e doveri.

8. Trasmissione di dati oltre confine

Così come per tutte le trasmissioni di dati a livello internazionale, comprese le trasmissioni infragruppo è molto importante assicurarsi che  questi abbiano le basi giuridiche per la trasmissione dei dati personali in un paese in cui non esistono adeguate norme in materia di protezione delle informazioni. Questo non è un problema nuovo ma una mancata conformità potrebbe tradursi in una multa di importo pari fino al 4% del fatturato mondiale: le conseguenze sono ora più dolorose e potrebbero portare alla bancarotta.

Diversi elementi di questa nuova leggi richiedono alle aziende non solo di effettuare lo storage dei dati in maniera sicura ma di effettuarne un’altrettanta sicura cancellazione in tempi stretti sia per volontà del soggetto interessato sia perché richiesto dalla legge.  Per questo motivo è bene utilizzare soluzioni di cancellazione sicura dei dati specializzate che possano sia cancellare i dati sia fornire una certificazione che attesti l’avvenuta e corretta cancellazione.
Per maggiori informazioni sulla cancellazione sicura dei dati visitate https://www.ontrackdatarecovery.it/cancellazione-sicura-dati/

Per maggiori informazioni sul nuovo GDPR consultate il sito del Parlamento europeo

Copyright immagine di copertina : Martin Moritz  / pixelio.de

2 Responses to "Il Regolamento Europeo per la Protezione dei Dati Personali è legge – 8 cose che dovreste fare per prepararvi alle nuove direttive"

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *