GDPR in pillole
Cos'è il GDPR?
Il Regolamento Generale sulla Protezione dei Dati personali (GDPR) o RGPD, è il regolamento europeo nato per creare una regolamentazione uniforme per tutti i paesi all'interno della UE. E' stato pubblicato nella Gazzetta Ufficiale dell'Unione Europea il 27 aprile 2016 e diventerà applicabile a partire dal 25 maggio 2018. Questo vuol dire che è possibile adeguarsi al nuovo regolamento anche subito indipendentemente dalle attuali normative dei paesi membri ma dal 25 maggio 2018 l'adeguamento sarà obbligatorio.
Il Regolamento norma tutto il ciclo della gestione dei dati personali effettuato da un azienda, dalla raccolta, al mantenimento fino alla cancellazione.
Per quali aziende si applica?
Il regolamento si applica a tutte le aziende, indipendentemente dalla dimensione, che operano all'interno della UE. Inoltre si applica anche ad aziende extra UE ma che offrono beni o servizi a clienti che si trovano all'interno della UE.
Ci sono sanzioni per chi non si adegua?
Si. Dal 25 maggio 2018 chi non si sarà adeguato rischierà sanzioni fino a 20.000.000 di euro o fino al 4% del fatturato aziendale (se superiore) in base alla grandezza dell'azienda e alla violazione riscontrata.
Cos'è il Registro dei Trattamenti?
Il Registro dei trattamenti è un nuovo strumento introdotto dal GDPR. Deve tracciare tutte le tipologie di dati trattate dall'azienda, oltre che contenere alcune informazioni obbligatorie (misure di sicurezza, categorie, interessati, ecc...) . Il Registro dei trattamenti del Titolare è obbligatorio:
-
per aziende con più di 250 dipendenti
-
se il trattamento non è occasionale
-
se il trattamento può presentare un rischio per i diritti e le libertà dell'interessato
-
se si trattano categorie particolari di dati
Pur non essendo obbligatorio per molte aziende il registro è fortemente consigliato per la fase di adeguamento ed il possesso di un azienda di un tale strumento è sintomo di una gestione attenta delle attività di trattamento e rende meno complesso dimostrare l'adeguamento alla normativa.
Infine il registro dei trattamenti è una cartina tornasole sullo stato di adeguamento e permette di fare luce sui principali rischi nel ciclo di gestione dei dati personali.
Chi è il Responsabile della protezione dei Dati?
Il Responsabile della Protezione dei Dati (DPO) è una delle principali novità del GDPR. E' una nuova figura all'interno di un'azienda.
E' obbligatorio nominarlo in questi casi:
-
l'azienda ha oltre 250 dipendenti
-
l'azienda è un autorità pubblica
-
Il core business dell'azienda consiste nel trattamento di particolari tipologie di dati
Le funzioni del DPO sono varie ma principalmente si focalizzano sull'informare e consigliare il Titolare in merito al ciclo di gestione dei trattamenti oltre che sorvegliare l'osservanza del GDPR.
Che cos'è un data breach? Che obblighi ci sono a riguardo?
Il Data Breach è una qualunque violazione di sicurezza che comporta in maniera accidentale o in modo illecito la :
-
distruzione
-
modifica
-
divulgazione non autorizzata
di dati personali conservati o trattati.
Il GDPR ha introdotto un nuovo obbligo per le aziende. Qualsiasi data breach deve essere notificato entro 72 ore alle autorità garanti. La mancata comunicazione o un ritardo ingiustificato è soggetto a sanzioni.
Un azienda che non è in grado di riconoscere un data breach o non ha implementato e documentato sistemi di sicurezza per evitarlo correrà notevoli rischi.
Nella compilazione del questionario per il Registro dei Trattamenti vi sono domande specifiche relative alle misure di sicurezza implementate. E' un importante segnale per comprendere i rischi che si stanno correndo.
E' possibile avere i dati fuori dall'Unione Europea?
E' possibile trasferire i dati Fuori dall'Unione Europea, ad esempio se il provider di servizi Cloud ha i server fuori dall'Europa. In ogni caso è necessario dotarsi di garanzie adeguate come
-
clausole contrattuali, norme vincolanti e codici di condotta o meccanismi di certificazione
-
giustificare che il paese in cui sono presenti i dati offre un livello di protezione adeguato
Nella compilazione del questionario per il Registro dei Trattamenti vi sono domande specifiche relative al dove sono collocati i dati trattati.
Cosa è il Data Retention?
Il Data Retention rappresenta la politica relativa alla cancellazione dei dati (o comunque alla loro anonimizzazione se non reversibile). Per ogni tipologia di dati trattati è necessario specificare, e implementare la durata oltre i quali questi dati vengono cancellati o anonimizzati. Non è ammesso non avere una politica di Data Retention, o mantenere i dati a tempo indefinito.
Nella compilazione del questionario per il Registro dei Trattamenti vi sono domande specifiche relative al Data Retention.
Cosa fare per adeguarsi?
L'entità del progetto di adeguamento è dipendente da tanti fattori
-
tipologia di azienda
-
grandezza dell'azienda
-
tipologia dei dati trattati
-
livello di maturità nel ciclo di vita del trattamento
Non tutte le aziende necessitano di progetti lunghi, complessi e costosi e molte di queste, con le giuste informazioni, possono essere messe in grado di adeguarsi autonomamente.
Il primo step è sicuramente comprendere quali dati si stanno trattando e il livello di maturità che si ha nella loro gestione.
Per questo è fondamentale avere un registro dei trattamenti che riporta tutte queste informazioni.
Con il nostro servizio è possibile creare autonomamente il proprio Registro dei Trattamenti, e avere una prima indicazione su cosa c'è da fare per completare l'adeguamento.