Dal 25 maggio 2018 entrerà in vigore in tutto il territorio dell’Unione europea il nuovo regolamento GDPR che interesserà tutte le aziende italiane. Con l’acronimo si intende “General Data Protection Regulation” e qui potete leggere l’intero provvedimento (Regolamento ue 2016/679). Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Il nuovo regolamento GDPR si concentra sul trattamento dei dati e la privacy all’interno dell’azienda.
La rivoluzione Privacy by design
Da adempimenti formali e mero requisito legale a obiettivo del processo. Grazie all’introduzione del principio di privacy by design, la privacy viene concepita fin dall’inizio della raccolta dei dati e determina la prospettiva con cui deve essere studiata ogni elaborazione delle informazioni. Questo nuovo modo di concepire la protezione dei dati mira a minimizzare i rischi e a ridurre la mole delle informazioni trattate. Il concetto di privacy by design si integra con quello di privacy by default, ovvero con l’obbligo di prevenire raccolte di dati non necessari per le finalità dell’azienda.
Con il GDPR si introducono novità per le aziende
- Regole più chiare su informativa e consenso
- Definiti i limiti al trattamento automatizzato dei dati personali
- Criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue
- Fissate norme rigorose per i casi di violazione dei dati
Il nuovo manager DPO (Data Protection Officer)
Il nuovo regolamento introduce la figura del DOP (Data Protection Officer), il responsabile per la protezione del trattamento dei dati. Una figura interna alle aziende che ha il compito di verificare il corretto trattamento dei dati. Tale ruolo è obbligatorio nei casi in cui chi tratti i dati sia un soggetto pubblico o l’azienda tratti sistematicamente dati sensibili o giudiziari.
Il DPO deve predisporre il documento di Privacy Impact Assessment e in generale valutare che non vi siano rischi legati al trattamento dei dati.
Il DPO non gestisce direttamente i dati ma ne monitora il trattamento.
GDPR, le sanzioni per le aziende
Le sanzioni previste nel regolamento introducono importi molti elevati (fino al 20 milioni di euro o il 4% del fattura mondiale annuale). Ma il principio generale è che una violazione del regolamento dovrà comportare una imposizione di sanzioni equivalente in tutti gli Stati membri.