Sei pronto per il GDPR*?

*EU General Data Protection Regulation

Diritti e doveri contenuti nel regolamento europeo che entrerà in vigore il 25 maggio 2018

Il GDPR, acronimo di General Data Protection Regulation, è il nuovo regolamento approvato dal Parlamento e dal Consiglio Europeo per la protezione dei dati personali dei cittadini nell’epoca digitale. Il GDPR si pone come obiettivo quello di  egolamentare come le aziende elaborano, memorizzano e distruggono i dati personali degli utenti. Il problema non è semplicemente essere in possesso di dati, ma saperli gestire nel modo corretto e poterlo dimostrare con prove tangibili ed incontrovertibili.

Per dati personali si intende: “qualunque informazione relativa a un individuo, collegata alla sua vita privata, professionale o pubblica. Può riguardare qualunque cosa: foto, indirizzi email, dettagli bancari, social network, informazioni mediche, indirizzi IP di computer, etc.”.

Diritti del Cittadino europeo

1. Diritto di essere informati à trasparenza sull’utilizzo che viene fatto del dato
2. Diritto di accesso à possibilità di accedere ai propri dati personali
3. Diritto di rettificaà possibilità di correggere i dati se sbagliati o incompleti
4. Diritto di oblio à Possibilità di cancellare i dati
5. Diritto di limitazione à possibilità di limitare l’utilizzo dei dati
6. Diritto di portabilità à Possibilità di trasferire i propri dati personali da un sistema di elaborazione elettronico ad un altro
7. Diritto di opposizione à Possibilità di vietare l’utilizzo dei propri dati (es. nel direct marketing)
8. Diritto di divieto all’automatizzazione à Possibilità di vietare che vengano intraprese azioni automatiche sulla base dei dati personali (es. e-commerce)

Per le aziende che violeranno uno di questi diritti, sono previste sanzioni fino a:

• 20 milioni di euro
• 4% del volume di affari globale

Doveri per le Aziende

Entro il 25 maggio 2018 tutte le aziende che trattano dati personali dovranno obbligatoriamente essere conformi al nuovo regolamento adottando soluzioni idonee (la normativa non prescrive specifiche tecnologie).

A chi è rivolto:

• Aziende che hanno una presenza fisica in almeno uno Stato dell’Unione Europea
• Aziende straniere che processano o memorizzano dati personali di cittadini europei
• Aziende che utilizzano servizi di terze parti che processano o memorizzano dati personali di cittadini europei

Novità più impattanti:

• Rispetto del Data Breach (violazione dei dati) à obbligo di notifica (entro 72 ore) all’Autorità competente e agli utenti interessati in caso di eventuali fughe o compromissioni di dati
• Accountability à dimostrazione con prove documentali della piena conformità al regolamento
• Nomina del Data Protection Officer (nella PA, nelle aziende con più di 250 dipendenti e in quelle che svolgono attività che prevedono il trattamento di dati sensibili) à con l’incarico di garantire l’osservanza al regolamento
• Obbligo di trattare i dati secondo una progettazione “by design” (lungo tutto il ciclo di vita) e “by default” (massima tutela di default nelle configurazioni)
• Redazione del Data Protection Impact Assessment (DPIA), un Piano di Valutazione d’impatto sui Dati Personali per le aziende che trattano dati sensibili (posizione economica, salute, sesso, etc.)

Come prepararsi al GDPR?

» Assessment
Capire il punto di partenza della tua azienda: quali dati personali vengono detenuti, dove vengono archiviati, perché sono in vostro possesso.

» Less is more
Fare pulizia di tutti i dati superflui e/o obsoleti sia nei propri sistemi che in quelli della propria rete di partner e fornitori.

» GDPR responsibility
Identificare chi all’interno, od eventualmente terze parti, è coinvolto nel processo di Data Protection ed entra in contatto con dati personali.

» Security data policies & procedures
Definizione/o aggiornamento di policy e procedure condivise all’interno ed all’esterno dell’azienda per la gestione dei dati personali in conformità alla GDPR.

» Formazione e comunicazione
Formare coloro che gestiscono i dati personali sui nuovi obblighi di legge e sulle procedure aziendali adottate. È importante inoltre sensibilizzare in generale tutti i collaboratori, interni ed esterni, sui rischi e sulle procedure da seguire.

» Risk Management
Assicurarsi di avere le soluzioni idonee per non violare nessuno dei diritti del cittadino (ad esempio nella convalida dei dati personali quando qualcuno si iscrive ad un sito web o ad una app).

» Data Breach Recovery Plan
Assicurarsi di possedere tecnologie in grado di identificare eventuali violazioni (Data Breach), porvi rimedio e poterlo dimostrare alle Autorità competenti entro 72 ore.

Non farti cogliere impreparato!

WSS Italia propone una serie di soluzioni in grado di aiutarti nella gestione dei requisiti di legge.