Cos’è il GDPR?
Il GDPR 2016/679 protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
Cosa si intende per dato personale?
Con “dati personali” si intende qualsiasi informazione riguardante una persona fisica, identificata o identificabile attraverso informazioni quali il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Quando andrà in vigore?
Il nuovo regolamento Privacy relativo alla protezione dei dati personali delle persone fisiche ed alla loro libera circolazione sarà operativo a partire dal 25 Maggio 2018: entro tale termine diventerà obbligatorio adeguarsi alle nuove norme europee in materia di privacy in ciascuno Stato membro dell’Unione Europea, compresa ovviamente l’Italia.
Privacy: Il nuovo regolamento
Con il nuovo regolamento cambieranno le regole per coloro che si trovano a maneggiare dati personali: ad esempio le società di telefonia, le pubbliche amministrazioni e qualsiasi azienda con cui l’utente si troverà a sottoscrivere un contratto contenente i suoi dati personali.
Il Regolamento andrà a sostituire il Codice della Privacy attualmente in vigore in Italia, riconoscendo importanti ed ampi diritti ai cittadini ed imponendo alle imprese ed alla Pubblica Amministrazione una forte responsabilizzazione.
Introdurrà una legislazione in materia di privacy uniforme e valida in tutta Europa affrontando temi innovativi quali ad esempio il diritto all’oblio (diritto dell’interessato alla cancellazione dei dati personali).
La nuova disciplina in tema di trattamento di dati personali prevede un concetto nuovo e sinora sconosciuto: ossia il concetto di scadenza dei dati. Ciò significa che nel momento in cui l’azienda entra in possesso di dati di alcuni utenti, non può tenerli per sempre. Pertanto ogni azienda nella propia informativa privacy dovrà anche specificare il tempo entro il quale il dato sensibile andrà trattato, scaduto il quale il trattamento diventerà Illegittimo
Privacy: gli scopi della nuova normativa e punti di forza del GDPR
- responsabilizzare maggiormente il titolare del trattamento dei dati personali in considerazione del rischio che il trattamento possa comportare per i diritti e le e le libertà degli interessati.
- Introdurre regole più chiare sia in materia di informativa agli interessati sia per l’esercizio dei diritti dei medesimi.
- La possibilità di revocare in ogni momento il consenso a determinati trattamenti di dati personali.
- garantire la protezione dei dati sin dalla progettazione del sistema di trattamento degli stessi, ad esempio attraverso la possibilità da parte del titolare di far certificare le modalità di trattamento dei dati
Il GDPR pone in evidenza una serie di punti di fondamentale importanza, quali:
- personal data
- trasferimento dei dati all’estero
- sicurezza dei dati personali
- diritto alla cancellazione dei dati “diritto all’oblio”
- privacy by default e privacy by design
- data portability
- consent
- privacy impact assessment
GDPR: I principali passi da seguire per le Aziende e nuove sanzioni
I principali passi, che le aziende devono compiere, per ottemperare correttamente alle disposizioni del GDPR possono essere riassunti come segue:
- aggiornamento periodico del sistema
- informazione\formazione del personale coinvolto
- nomine ed incarichi dei soggetti coinvolti (es. Titolare, Responsabile Del Trattamento, Autorizzati,
Responsabile della protezione dati\DPO se previsto)
- risk assessment (valutazione d’impatto privacy, analisi dei rischi, classificazione dei dati)
Il titolare che non dovesse adempiere a quanto stabilito dal GDPR potrà incorrere in possibili sanzioni amministrative (max 20.000.000€ per le imprese, fino al 4% del fatturato mondiale annuo, se superiore), civili e penali.