GDPR: il nuovo quadro normativo sulla privacy

GDPR cosa è ed attuazione delle normeGDPR è l’acronimo di General Data Protection Regulation che entrerà in vigore in tutti i paesi dell’Unione Europea il 25 maggio 2018 e sostituirà la vecchia normativa sulla privacy del 1995/1996. Frutto di anni di lavoro, è stato approvato a maggio 2016 con l’intenzione di regolamentare completamente il settore dei dati personali in ogni contesto aziendale e lavorativo.

Nel concreto il GDPR contiene al suo interno una serie di norme con un duplice scopo:

1. Permettere un controllo completo di tutti i propri dati personali ai cittadini europei
2. Semplificare il quadro normativo sulla gestione dei dati personali per le aziende

Workinrete.net offre supporto legale ed informatico per l’attuazione del GDPR attraverso un prodotto unico ed integrato. L’ufficio legale Workinrete.net ed il nostro partner tecnologico Inforete.net sono a vostra completa disposizione.

Il GDPR viene inoltre inteso come una conditio sine qua non per entrare nei mercati digitali e si inquadra all’interno degli sforzi del legislatore europeo, per lo sviluppo dell’economia digitale. Gli aspetti più interessanti ed innovativi della nuova regolamentazione sono tre: extraterritorialità, sanzioni e consenso.

Extraterritorialità
Le norme del GDPR si applicano a qualsiasi realtà tratti dati sensibili e personali di cittadini europei, prescindendo dal paese dove l’azienda ha la sede legale o nel quale questi dati vengono trattati.

Sanzioni
Il GDPR introduce un regime sanzionatorio per le aziende che violino il regolamento con multe che possono arrivare fino a 20 milioni di euro o al 4% del fatturato globale dell’azienda. Le sanzioni vengono comminate caso per caso quindi, a carico dei soggetti trasgressori, vengono allestite delle istruttorie volte a verificare le violazioni e a comminare la sanzione specificatamente per l’azienda in questione.

Consenso
Il consenso al trattamento dei dati deve essere chiaro e facilmente comprensibile a tutti i cittadini. Le aziende che provvedono alla raccolta ed al trattamento di tali dati, hanno la responsabilità di chiarire in modo inequivocabile e facilmente comprensibile ai cittadini, come tali dati verranno utilizzati. Ma non è tutto, le aziende dovranno utilizzare gli stessi criteri negli strumenti attraverso i quali gli utenti esprimeranno il loro consenso.

Il GDPR per le aziende

Per non incorrere nelle sanzioni previste, le aziende devono predisporre o aggiornare i propri strumenti e procedure affinché i dati vengano correttamente protetti. Il GDPR ha ridisegnato completamente le norme in termini di modalità di trattamento dei dati, diritti dei soggetti interessati, responsabilità dei dati, modalità di comunicazione di eventuali violazioni dei dati e sanzioni per l’infrazione del regolamento.

Accesso ai dati: i cittadini europei hanno il diritto di sapere precisamente se i loro dati vengono elaborati, in quale luogo e per quale scopo e le aziende hanno l’obbligo di fornire tali dati ai soggetti richiedenti in formato gratuito ed anche elettronico.

Violazione dei dati: le aziende che subissero una violazione dei dati personali degli utenti  che possano mettere a rischio “i diritti e le libertà degli individui”, avranno l’obbligo, secondo il GDPR, di informare le autorità competenti ed i soggetti coinvolti nella violazione entro 72 ore dall’accertamento del data breach.

Privacy by Design: il regolamento cristallizza in legge un concetto diffuso ma finora considerato solo una best practice, considerando il trattamento dei dati personali come un elemento fondamentale da considerare sin dalla progettazione di servizi e prodotti e non come un elemento accessorio che entra in causa ex post. Ogni progetto dovrà contenere già procedure e norme atte a proteggere i dati personali e a come evitare che vengano violati.

Pseudonimizzazione e cifratura: il GDPR richiede alle aziende che i dati vengano trattati in modo da consentirne l’accesso solo agli addetti ai lavori autorizzati, attraverso una robusta cifratura e all’utilizzo di campi artificiali per non permettere ad eventuali malintenzionati di decifrare i dati; la pseudonimizzazione serve ad evitare che campi come nome, cognome, indirizzo, etc, vengano facilmente individuati sostituendoli con sigle, numeri o ogni possibilità di rendere i campi stessi difficilmente comprensibili. Si pensi ad esempio a campi delicati come i risultati di un determinato test clinico, un valore o un numero potrebbero celare la presenza o meno di una determinata problematica che non sarebbe comprensibile ad eventuali malintenzionati.

Diritto all’oblio: ogni cittadino può richiedere di essere completamente cancellato dai database delle aziende qualora lo richiedesse.

Data Protection Officer: il GDPR istituisce una nuova figura all’interno di enti pubblici ed aziende private che si dovrà occupare del “monitoraggio regolare e sistematico di dati su larga scala” ed avrà il compito di assicurarsi che l’azienda adempia a tutta la regolamentazione.

La Workinrete.net è preparata all’attuazione del GDPR ed offre supporto a tutte le aziende retiste ed esterne che vogliano mettersi in regola. Lo studio legale della rete è a loro disposizione per stilare la documentazione necessaria ed applicare le normative prescritte.
Attraverso il partner tecnologico Inforete.net, la rete offre inoltre, un prodotto unico per l’attuazione del GDPR: un team legale che si occupi della documentazione ed un team di esperti di sicurezza informatica e privacy per lo studio di tutte le necessità delle aziende per mettere in sicurezza i dati e non incorrere in inutili sanzioni.

Contattaci per avere maggiori informazioni.