Il 25 maggio 2018 diventa operativo il Gdpr (General Data Protection Regulation), ovvero la normativa di riforma della legislazione europea in materia di protezione dei dati.
dpconsulenze si è specializzata nello studio di questa normativa e ha aiutato diverse aziende ad adeguarsi…
Il fine perseguito dal Regolamento è espresso dall’art. 1 par. 2:
«Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali».
Il regolamento si fonda sul principio di accountability o responsabilizzazione del Titolare dei dati. Chiunque gestisce i dati personali, sia comuni che particolari, deve rendere conto del proprio operato. In forza di tale principio, i titolari sono tenuti a decidere autonomamente le modalità e i limiti del trattamento dei dati alla luce dei criteri specifici indicati nel Regolamento:
«privacy by design», in base al quale qualunque trattamento di dati personali dovrà essere progettato fin dall’inizio in modo da tutelare la privacy degli utenti, cioè il trattamento deve essere previsto e configurato fin dall’inizio prevedendo le garanzie per tutelare i diritti degli interessati;
«privacy by default», il quale stabilisce che per impostazione predefinita il trattamento dovrebbe trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.
L’attuazione del regolamento ha un impatto più ampio di quanto si possa pensare in quanto quasi tutte le aziende gestiscono e quindi trattano dati personali, dalle informazioni sui propri dipendenti alla profilatura dei clienti.
Fra gli obblighi da tenere in considerazione ricordiamo:
- l’ottenimento di esplicito consenso al trattamento dei dati in forma chiara mediante specifica informativa;
- redazione di un registro delle attività, Registro del Trattamento;
- la notifica delle violazioni (Data Breach) entro 72 ore dall’avvenimento. I dati personali conservati, trasmessi o trattati possono essere soggetti al rischio di perdita, distruzione, diffusione indebita a seguito di attacchi informatici, accessi abusivi, incidenti, eventi avversi, incendi.
La violazione del regolamento può comportare delle sanzioni molto salate. A seconda della gravità dell’infrazione, le multe possono arrivare: fino a un massimo di 10 milioni di euro o, per le imprese, il 2% del fatturato (se superiore); fino a un massimo di 20 milioni o, sempre per le imprese, il 4% del fatturato (se superiore).
dpconsulenze si è specializzata nello studio di questa normativa e ha aiutato diverse aziende ad adeguarsi, affiancandole nella redazione del Registro del Trattamento, nell’analisi dell’infrastruttura informatica, principale responsabile del trattamento dei dati in formato digitale, nonché nella valutazione dei rischi al fine di prevenire potenziali minacce circa integrità, disponibilità e riservatezza di tutti i dati personali trattati.
Per maggiori informazioni, seguici nella sezione dedicata: LINK