Domani, mercoledì 11 aprile vi invitiamo al
Talk: “GDPR, il nuovo Regolamento UE in vigore dal 25 maggio”, una serata per comprendere e chiarire le novità introdotteda dal GDPR – General Data Protection Regulation – a cui le aziende che operano in Europa dovranno conformarsi entro maggio 2018.
L’evento è gratuito ma è necessario registrarsi cliccando qui.
Di seguito una sintesi dei punti chiave tratta da itgovernance.uk.co, per maggiori approfondimenti si rimanda al testo finale del Regolamento Generale sulla Privacy licenziato dal Parlamento Europeo e disponibile online.
Le sanzioni in caso di data breach
Il regolamento impone sanzioni pesanti alle organizzazioni che abbiano subito un Data Breach: fino al 4% del fatturato globale annuo o massimo 20 milioni di euro. Le multe entreranno in vigore entro due anni dalla ratifica del GDPR.
Se l’azienda non ha sede in Europa, sarà comunque necessario rispettare il regolamento
Anche le organizzazioni non comunitarie che operino nella UE su dati personali di cittadini UE e che forniscono prodotti o servizi ai clienti UE possono dover affrontare il lungo braccio della legge se viene segnalato un incidente che li riguarda.
La definizione di dati personali è più ampia, portando un maggior numero di dati nel perimetro regolamentato
Aumentano le categorie di dati che vengono considerate critiche per l’identificazione di un individuo: si parla di identità genetica, psichica, economica, culturale o sociale. Le aziende dovranno prendere misure per ridurre la quantità di informazioni personali che immagazzinano e garantire di non memorizzare le informazioni più a lungo del necessario.
Il consenso dei genitori per i dati dei bambini
Il consenso dei genitori sarà richiesto per il trattamento dei dati personali dei bambini sotto i 16 anni. I singoli stati membri della UE potranno decidere di abbassare la soglia a 13 anni.
Le modifiche alle regole per ottenere un valido consenso
Il documento che illustra il conferimento del consenso al trattamento dei dati deve essere semplificato e trasparente; non vale il silenzio assenso: il consenso deve essere fornito in forma chiara e affermativa.
Per alcune società la nomina di un responsabile della protezione dei dati (DPO) sarà obbligatoria
L’articolo 35 del GDPR afferma che tutti gli enti pubblici devono nominare un responsabile della protezione dei dati. Un DPO sarà richiesto inoltre laddove le attività principali del “controller” o del “processore” di dati prevedano “un monitoraggio regolare e sistematico su larga scala delle persone interessate”, o qualora la società svolga attività di elaborazione su larga scala di “categorie particolari di dati personali”. Le imprese il cui core business non sia l’elaborazione dei dati sono esenti da tale obbligo.
Il GDPR non specifica le credenziali necessarie per i responsabili della protezione dei dati, ma richiede che abbiano una “conoscenza approfondita della normativa sulla protezione dei dati e delle pratiche connesse.”
L’obbligatorietà dell’introduzione di valutazioni di impatto del rischio sulla privacy
Prima di intraprendere attività di elaborazione dei dati ad elevata sensibilità deve essere adottato un approccio basato sull’analisi del rischio connesso. I responsabili del trattamento saranno tenuti a effettuare valutazioni d’impatto sulla privacy nei casi in cui i rischi di violazione della privacy stessi siano elevati con il fine di analizzare e ridurre al minimo i rischi per le loro persone interessate.
Nuovi obblighi di notifica in caso di violazione
I “data controller” Titolari del trattamento saranno tenuti a segnalare violazioni dei dati alla loro autorità di Garante del Trattamento dei Dati a meno che sia improbabile che esse rappresentino un rischio per i diritti e le libertà delle persone interessate . La notifica deve essere effettuata entro 72 ore dal momento in cui il Titolare del Trattamento venga a conoscenza di tali violazioni, a meno che non ci sono circostanze eccezionali, che dovranno essere giustificate.
Vigerà altresì l’obbligo di notifica ai soggetti i cui dati siano stati violati, qualora la loro privacy sia a rischio. Non sono indicati termini temporali per la notifica stessa.
La supply chain sarà sottoposta a revisioni e audit regolari allo scopo di verificarne l’idoneità al nuovo regime di sicurezza.
Il diritto all’oblio
Il cittadino ha il “diritto all’oblio”. Il regolamento prevede linee chiare circa le circostanze in cui tale diritto può essere esercitato.
Il trasferimento internazionale dei dati
Dal momento che il regolamento si applica anche a chi fa “data processing” (Responsabili del trattamento) le organizzazioni devono essere consapevoli del rischio insito nel trasferimento dei dati a paesi che non facciano parte dell’Unione Europea. I “Data controller” -Titolari del Trattamento – non comunitari dovranno nominare loro rappresentanti nell’UE.
Responsabilità del trattamento dei dati
Chi effettua attività di elaborazione di dati avrà obblighi di legge diretti e responsabilità, il che significa che essi possano essere ritenuti direttamente responsabili di una violazione dei dati. Gli accordi contrattuali dovranno essere aggiornati e prevedere obbligatoriamente per gli accordi futuri l’individuazione e la ripartizione di responsabilità e obblighi tra il titolare e il responsabile del trattamento del dato. Le parti dovranno documentare ancora più chiaramente le loro particolari responsabilità rispetto ai dati e l’aumento dei livelli di rischio potrà impattare sui costi del servizio.
Portabilità dei dati
Il diritto alla portabilità dei dati consente all’utente di richiedere una copia dei dati personali in un formato utilizzabile ed elettronicamente trasmissibile ad un altro sistema di elaborazione.
Privacy by design
Il GDPR contiene i requisiti che i sistemi e i processi devono considerare conformi per il rispetto dei principi della protezione dei dati. L’essenza del privacy by design è che in un servizio o un prodotto la privacy venga presa in considerazione non solo nel momento del delivery, ma sin dallo sviluppo del “concept” del servizio o del prodotto stesso.
E’ chiaramente indicato inoltre che per proteggere i diritti dei proprietari dei dati stessi, il Titolare del Trattamento dei dati raccolga e conservi nel tempo esclusivamente i dati necessari allo scopo.
Lo sportello unico
Viene creato uno “sportello unico” per le imprese: le imprese dovranno fare riferimento ad un’unica autorità di vigilanza, non più ad una per ciascuno dei 28 Stati membri dell’UE, il che renderà più semplice ed economico per le aziende fare affari in Europa. Ciò avrà anche un impatto positivo sui fornitori di servizi internet con sedi multiple in diversi paesi dell’UE.
L’evento è gratuito ma è necessario registrarsi cliccando qui.