Recentemente si è sentito parlare ampiamente del GDPR (in italiano RGPD: Regolamento Generale sulla Protezione dei Dati), in breve si tratta di una normativa a livello europeo che va a rafforzare e standardizzare i processi di trattamento e protezione dei dati personali.
Quando entrerà in vigore?
Dopo 4 anni di analisi e strutturazione, il GDPR è stato approvato e messo in atto dal Parlamento Europeo nell’aprile 2016, la normativa ha un periodo di transizione di due anni e non avrà bisogno di ulteriori legislazioni per entrare in azione. Le imprese hanno quindi tempo fino a maggio 2018 per mettersi in regola.
Quali imprese devono sottostare al GDPR?
Indipendentemente se la sede dell’impresa è all’interno o all’esterno dell’Europa, dovrà comunque sottostare alle direttive del GDPR se:
- Offre prodotti o servizi all’interno dell’Unione Europea;
- Gestisce dati personali o monitora il comportamento di soggetti all’interno dell’Unione Europea.
Cosa si intende per dati personali?
Qualsiasi informazione relativa ad una persona che la possa identificare direttamente o indirettamente (nome, foto, indirizzo email, informazioni bancarie, post sui social, informazioni mediche, indirizzo IP).
Come si potranno ottenere i dati personali?
I dati personali si potranno ottenere sempre nella stessa maniera, tuttavia bisognerà richiedere il consenso descrivendo il motivo della raccolta dati in maniera esplicita e non ambigua. Bisognerà quindi sempre specificare chiaramente e brevemente il motivo della raccolta dei dati ed il modo in cui verranno utilizzati, senza utilizzare termini giuridici o condizioni lunghe e complicate. Per i soggetti con età inferiore a 16 anni, ci sarà inoltre bisogno del consenso dei parenti o tutori. gli stati membri possono decidere però di abbassare questa soglia di età fino ai 13 anni.
Come bisognerà gestire i dati?
I dati dovranno essere, in ogni momento:
- Protetti: ovviamente bisogna evitare furti di informazioni. In caso di breccia nei sistemi di sicurezza andranno informati:
- i soggetti di cui sono stati rubati i dati entro 72 ore
- il fornitore dei dati nel minor tempo possibile
- Accessibili: si deve dare alla persona la possibilità di visionare i dati raccolti su di essa
- Cancellabili: bisogna fornire la possibilità di far cancellare tutti i dati raccolti, impedendo di continuare ad utilizzarli per qualsiasi fine.
Come adeguarsi al GDPR?
Per adeguarsi, i professionisti del settore solitamente mostrano un processo suddiviso in 9 passaggi. Anche se i passaggi sono a volte diversi, si tratta sempre di:
- Comprendere come vengono trattati i dati personali prima dell'adeguamento
- Comprendere cosa viene richiesto dalla nuova normativa
- Comprendere il gap tra trattamento dati esistente e trattamento dati da raggiungere
- Stilare un piano di adeguamento
- Adeguarsi alla normativa: documentando i processi, realizzando le infrastrutture ed i documenti necessari ed introducendo in azienda la figura del Data Protection Officer
- (Non viene mai menzionato ma credo sia sempre importante esplicitarlo) Continuare a seguire la norma nel futuro
Cosa succede a chi non si adegua?
Chi non si adegua o infrange le regole della normativa incorre a sanzioni economiche decisamente pesanti. La sanzione massima, utilizzata solo per i casi più gravi, è pari al valore maggiore tra il 4% del fatturato annuo o 20 milioni di euro. Le penali hanno vari scaglioni, per esempio le imprese che non informano di eventuali fughe di dati, la sanzione è pari al 2% del fatturato annuo.
In conclusione
Se hai sede in Europa o hai interazioni con il pubblico europeo, adeguarsi alla nuova normativa è obbligatorio. Le azioni di adeguamento sono poche ma importanti e la non adempienza alle nuove norme non conviene minimamente se si pensa all’entità delle sanzioni. In caso tu non ti sia ancora adeguato, ti consigliamo di iniziare a fare gli opportuni preparativi il prima possibile. Se hai domande sull’argomento, scrivici nei commenti o mandaci una email.
Ulteriori risorse:
http://eur-lex.europa.eu/eli/reg/2016/679/oj
https://en.wikipedia.org/wiki/General_Data_Protection_Regulation
http://eur-lex.europa.eu/legal-content/EN/LSU/?uri=CELEX:32016R06...
https://www.iubenda.com