GDPR_adeguamento

GDPR, a breve l’adeguamento alla nuova normativa europea sulla Privacy

Ci siamo quasi. Dal 25 maggio tutte le aziende, i professionisti e le Pubbliche Amministrazioni dovranno adeguarsi al GDPR, la nuova normativa europea sulla tutela dei dati personali.

L’acronimo GDPR sta per General Data Protection Regulation ed è conosciuto anche come il Regolamento UE 2016/679. Esso nasce dalla necessità di armonizzare e semplificare le norme riguardanti il trasferimento di dati personali dall’Unione Europea verso il resto del mondo, nonché dalla necessità di fornire una risposta adeguata alle problematiche nate dallo sviluppo tecnologico-informatico.

Vediamo adesso insieme alcuni aspetti tecnici della normativa che riguardano sanzioni, controllo interno preventivo e in generale tutte le novità da conoscere per un adeguamento sereno e tempestivo.

GDPR: Sanzioni

GDPR_sanzioni

L’articolo 84 del regolamento europeo parla chiaro: le sanzioni amministrative pecuniarie sono armonizzate e quindi di competenza del nuovo Regolamento, dovendo rispondere a criteri di effettività, proporzionalità e deterrenza. Resta invece ferma per i singoli Stati la gestione della materia penale. 

In linea generale, le sanzioni previste dal nuovo Regolamento saranno stabilite in funzione del singolo caso (articolo 83 del Regolamento UE 2016/679) e valutando altresì la natura colposa o dolosa del danno. Saranno quindi tenuti in debita considerazione aspetti quali: la gravità e la durata della violazione, la finalità del trattamento, il numero di interessati i cui diritti siano stati violati oltre al danno effettivo arrecato.

Una violazione del regolamento comporterà un regime sanzionatorio equivalente per tutti gli Stati membri, con sanzioni che potrebbero sfiorare i 20 milioni di Euro. Potrà tuttavia accadere che alternativamente alla sanzione pecuniaria, in assenza di rischi rilevanti per i diretti interessati, potrà essere corrisposta una semplice diffida amministrativa. 

GDPR: Controllo interno preventivo (Audit interno)

GDPR_controllo_interno_preventivo

La nuova normativa europea prevede che le aziende riorganizzino la loro policy interna per la gestione dei dati sia dei  dipendenti che dei clienti effettivi o potenziali. Per fare ciò, è auspicabile che ogni azienda proceda ad un controllo interno preventivo che accerti la conformità al nuovo Regolamento. Oggetto del controllo dovranno essere, ad esempio, aspetti quali: lo stato della normativa interna, con particolare attenzione alle novità introdotte; l’analisi del rischio e la realizzazione di specifiche procedure di controllo e implementazione delle misure di sicurezza nell’ottica del principio di accountability introdotto dal GDPR; la completa revisione e stesura delle procedure e dei documenti richiesti per la compliance al GDPR.

GDPR: Cosa fare per adeguarsi? 

GDPR_cosa_fare_per_adeguarsi

Ogni organizzazione dovrà per prima cosa nominare un Responsabile della Protezione dei Dati (RPD), adeguatamente formato, il cui compito sarà quello di informare sul proprio ruolo tutti i portatori di interesse della società, siano essi collaboratori, clienti o fornitori. La normativa descrive nel dettaglio la tipologia di informazioni minime che dovranno essere rese, così riassumibili:

  • Identità del titolare
  • Scopo delle operazioni di trattamento per le quali è richiesto il consenso
  • Tipo di dati raccolti e trattati
  • Esistenza del diritto di revoca del consenso
  • Uso dei dati per le decisioni basate su elaborazione automatica (inclusa profilazione)
  • Nel caso di trasferimento verso paesi terzi, possibili rischi in assenza di garanzie e scelte appropriate

Il passo successivo sarà quello di tutelare i dati raccolti attraverso un sistema crittografato, onde garantire l’impossibilità di accesso da parte di soggetti non autorizzati. Dovrà inoltre essere garantito, in caso di eventuali inconvenienti di natura fisica o tecnica, che l’accesso alle informazioni sia tempestivamente ripristinato. Infine, per le aziende con più di 250 dipendenti è previsto l’obbligo di redigere un registro delle attività con i dettagli sulle policy aziendali attuate in materia di privacy, sulle procedure adottate e sugli standard di sicurezza vantati.

GDPR: Cosa fare nel caso di fuga di dati sensibili? 

GDPR_perdita_dati

Per adeguarsi dovranno quindi essere rispettate delle procedure standard di protezione e prevedere una verifica delle misure tecniche e organizzative adottate, che dimostrino la capacità di assicurare riservatezza, integrità, disponibilità, resilienza dei sistemi e dei servizi di trattamento, nonché ripristino tempestivo della disponibilità e dell’accesso dei dati personali. Il GDPR introduce infatti il principio di accountability per tutte le fasi del trattamento. Questo significa adottare soluzioni e strumenti che garantiscano la protezione del dato, insieme al controllo, la verifica e l’analisi delle procedure. Nel caso di una perdita di dati, dovuta a manomissione, attacco esterno o accidentale, scatta l’obbligatorietà di avviso tempestivo (entro 72 ore dall’identificazione del problema) all’autorità garante. Eventuali ritardi andranno giustificati.

GDPR: Costi dell’adeguamento 

GDPR_costi_adeguamento

Secondo uno studio realizzato da IAPP (International Association of Privacy Professionals) ed Ernst & Young, l’adeguamento al GDPR rappresenta un costo non indifferente per le aziende. In Italia, vista la presenza preponderante di PMI con fatturati inferiori ai 5 milioni di euro, si stimano investimenti sui 50.000 euro per l’adeguamento, altre ai 25.000 euro in media per la gestione ordinaria degli adempimenti previsti dal GDPR. Un  budget molto ristretto soprattutto se paragonato alla mole di lavoro necessario per l’adeguamento in tempi così brevi. Bisogna tuttavia acquisire un’ottica di lungo periodo, incentrata su una vera e propria “rivoluzione” di pensiero: nessuna impresa potrà esimersi nell’immediato futuro da un trattamento idoneo, adeguato e sicuro dei dati personali.

Nessun Commento

Inserisci un Commento

Continuando a navigare in questo sito accetto la normativa sull'utilizzo dei cookie Più informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi