Categorie

GDPR: le 8 cose che devi sapere per affrontare la nuova normativa

Per  affrontare correttamente le nuove norme del Regolamento Europeo, è necessario capirle e tenere bene a mente che la nuova tutela dei dati personali è un modello non statico ma in continua evoluzione. Si tratta di adeguarsi alle sfide normative e tecnologiche che nel corso del tempo le imprese si troveranno ad affrontare, attraverso un processo organizzativo e strategico da cui potranno derivare, per chi saprà coglierli, inportanti vantaggi competitivi.

Tutte le organizzazioni che trattano dati personali dovranno definire un piano di azione per adeguarsi alle regole introdotte dalla nuova normativa privacy: vediamo tutte le novità introdotte dal Nuovo Regolamento Europeo.

1. I diritti degli interessati: nuove regole

criteri introdotti dal Regolamento Europeo richiedono, diversamente da quanto accaduto fino ad oggi, di prevedere nuove modalità per l’esercizio dei diritti da parte dell'interessato. Tali modalità riguardano i meccanismi per richiedere ed ottenere gratuitamente, l'accesso ai dati, la rettifica e/o la cancellazione, i limiti al trattamento, la portabilità dei dati e per esercitare il diritto di opposizione.
In particolare, per i dati raccolti e trattati con mezzi elettronici, dovranno essere predisposti mezzi per inoltrare tali richieste per via elettronica.

2. Come cambiano l'informativa e le regole per il consenso

Anche l'informativa ed il consenso cambiano. L'informativa non sarà più uno strumento burocratico e formale. Deve essere "resa in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori". Le informazioni sono fornite per iscritto o con altri mezzi, se del caso, in formato elettronico. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l'identità dell'interessato.

Inoltre occorrerà informare gli interessati sull'origine dei dati trattati e indicare il tempo di conservazione dei dati.

Di conseguenza il consenso deve essere "libero, specifico, informato, inequivocabile". Il consenso tacito o presunto non è ammesso. Per quanto riguarda il consenso dei minori di 16 anni nascono regole specifiche.

3. Si introduce il concetto di "Accountability"

Con la vecchia 196 gli adempimenti si basavano su criteri formali e sulla logica dell'effettivo abuso dei dati raccolti. La sanzione era diretta conseguenza del fatto che gli adempimenti non erano stati svolti e solo se le autorità di controllo lo rilevavano e lo contestavano.

Il Nuovo Regolamento rende invece diventa obbligatorio elaborare un sistema documentale di gestione della privacy, contenente tutti gli atti, regolarmente aggiornati, elaborati per soddisfare i requisiti di conformità al Regolamento.

È la logica dell'accountability, cioè dell'obbligo della corretta organizzazione della documentazione e tracciabilità delle attività di trattamento. Chi non organizza bene la gestione dei dati che raccoglie è punibile per questo semplice fatto, a prescindere dall'abusivo utilizzo dei dati che ne possa derivare.

4. Vengono introdotte l’analisi dei rischi e valutazione di impatto (PIA)

Con il nuovo regolamento europeo viene introdotto un nuovo strumento: il Privacy Impact Assestment.  Si tratta di un documento che contiene una vera e propria analisi dei rischi reali che possono generare dal trattamento dei dati aziendali. La valutazione degli impatti determinati dal trattamento dei dati stessi è responsabilità di chi raccoglie i dati stessi e dovrà essere effettuata fin dal momento della progettazione del processo aziendale e degli applicativi informatici di supporto nel trattamento dei dati, in particolare nei casi in cui il trattamento alla base degli stessi, per sua natura, oggetto o finalità, presenti rischi specifici per i diritti e le libertà degli interessati.

Il processo prevede tre fasi da volgersi periodicamente con cadenza almeno annuale:

  1. Analisi dei rischi (list analysis)
  2. Definizione della lista delle criticità (gap list)
  3. Definizione del programma di intervento (action plan)

Come si determinano la probabilità e la gravità del rischio legato al trattamento? Andranno valutate la natura, il campo di applicazione, il contesto e le finalità del trattamento dei dati. Il rischio dovrà essere considerato in base ad una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato. Sarà una vera e propria rivoluzione per quanti sono abituati alle cadenze confortevoli del DPS e all'approccio tecnico informatico alla materia. Con il PIA viene introdotta un'analisi dei processi aziendali profonda che mira a gestire i rischi, prevedendoli.

5. DATA BREACH NOTIFICATION: l'obbligo di notifica per le violazioni di dati

La Data Breach Notification è l'obbligo di segnalare al Garante le violazioni di dati subite da chi li tratta se da queste violazioni possono derivare dei rischi per le libertà ed i diritti degli interessati. Cosa si intende per Data Breach? La distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso, in modo accidentale o illecito, ai dati personali in qualunque modo trasmessi, memorizzati o elaborati.

Cosa bisogna fare  in caso di violazione?

  1. Notificare l'avvenuta violazione all’Autorità di controllo entro 72 ore dal fatto (o da quando se ne viene a conoscenza)
  2. La segnalazione a tutti gli interessati i cui dati personali sono coinvolti nel fatto (senza ingiustificato ritardo)

Nel caso di mancato rispetto di questo obbligo scattano sanzioni penali.

E' chiaro che questo obbligo, o standard operativo, comporta che ci si adoperi per l'adozione di sistemi di monitoraggio (detti anche software sentinella) che segnalino immediatamente le violazioni.

6. Viene introdotta la figura del Data Protection Officer (DPO)

Affianco alle tre  figure classiche, che conoscevamo nella vecchia legge Privacy, (titolare, responsabile e incaricato), ne nasce una nuova e molto rilevante; è un grosso cambiamento! Nascerà il Data Protection Officer (DPO) o Responsabile della protezione dei dati personali. Non è sempre obbligatoria, ma lo diventa se ricorrono determinate condizioni:

  1. Se chi tratta i dati è un soggetto pubblico
  2. Se si trattano rilevanti quantità di dati personali
  3. Se si trattano sistematicamente dati sensibili o giudiziari

Il DPO può essere un consulente esterno all'azienda, o anche condiviso da più aziende; deve possedere requisiti di professionalità, indipendenza ed autonomia di spesa.  Si tratta una sorta di auditor interno dei processi di trattamento dei dati personali, è sarà il referente per il Garante quando si tratti di acquisire informazioni o formulare contestazioni rivolte a chi tratta i dati personali in azienda.

7. Nuovi principi della protezione della privacy: privacy by design e privacy by default.

Vengono introdotti nel sistema normativo europeo due nuovi principi fondativi dell'approccio evoluto al corretto trattamento dei dati personali: la privacy by design e la privacy by default.

Privacy by design significa che la tutela dei dati personali deve essere pensata e organizzata fin dalla fase progettuale della raccolta di informazioni. Diventa obbligatorio prevedere meccanismi di protezione dei dati fin dalla progettazione delle attività e per l'intera gestione del ciclo di vita dei dati.

Bisognerà analizzare i flussi di dati connessi all'attività che si vuole effettuare e adottare criteri che minimizzino i rischi del trattamento e riducano le quantità dei dati trattati (si parla di minimization of data).

Privacy by default significa che occorrerà pensare ed implementare sistemi di protezione di dati e sistemi fin dalla progettazione, prevenire raccolte di dati non necessari, per le finalità perseguite, evitando di acquisire informazioni eccedenti rispetto agli obiettivi dichiarati nell'informativa. La Privacy diventa quindi un presupposto di qualsiasi attività di trattamento, un elemento intrinseco del processo di gestione dei dati.

"Privacy by design e by default si fondono in un unico precetto organizzativo che diventa, quindi, la vera stella polare nel cammino verso il corretto trattamento dei dati personali".

8. Aumentano le sanzioni

Con la vecchia normativa le sanzioni potevano arrivare fino a € 360.000; erano previsti degli aggravamenti in relazioni alle dimensioni dell'impresa o in caso di particolare gravità delle violazioni. Con il Nuovo Regolamento Europeo le sanzioni diventeranno molto più pesanti:

  1. Fino a € 20.000.000 per i privati e le imprese che non fanno parte di gruppi
  2. Fino al 4% del fatturato complessivo per i Gruppi multinazionali

Così la mappa è completa.

La Data Protection sarà sempre di più un fattore competitivo. Le aziende che capiranno che non si tratta più solo di una serie di adempimenti ma di un processo organizzativo aziendale che ha natura produttiva e non solo normativa, potranno trarne un grande vantaggio.

 

L'area "Regolamento Europeo Privacy" mette a tua disposizione una serie di approfondimenti su tutti gli aspetti della normativa per accompagnarti, con una serie di articoli, guide ed infografiche, fino al 25 maggio 2018 quando sarà definitivamente applicabile in tutti gli stati membri dell’Unione Europea il nuovo Regolamento.

Non perdere gli aggiornamenti: Iscriviti alla Newsletter dedicata!

ISCRIVITI ALLA NEWLETTER DEDICATA

Vuoi rivolgere ai nostri esperti le tue domande o esporre i tuoi dubbi? 
Inviaci la tua domanda cliccando sul bottone qui sotto: ti risponderemo!

RICHIEDI MAGGIORI INFORMAZIONI

Oppure inserisci un commento e condividi le tue riflessioni e le tue domande con gli altri utenti del blog.

Inserisci un nuovo commento

Ultime news

Tags

Informatore Informatico - Blog di In.Ser.T. srl in collaborazione con Martinelli spa e Pc Copia srl - Design by: In.Ser.T srl - Copyright 2016 - Privacy Policy

info@informatoreinformatico.it