Ecco cosa prevede nel dettaglio il GDPR che trova piena applicazione dal 25 maggio 2018:
Per semplificare possiamo riassume brevemente quali sono i punti centrali del regolamento:
- Regole più e trasparenti su informativa e consenso
- Definizione e garanzia di nuovi diritti dei cittadini
- Criteri più rigorosi per il trasferimento dei dati al di fuori dell’Ue
- Sanzioni rigorose nei casi di violazione dei dati, data breach (divulgazione, distruzione, perdita, o accesso non autorizzato ai dati trattati da aziende o pubbliche amministrazioni)
- Rafforzamento del diritto all’oblio
- Aumento della tutela della privacy dei minori di 16 anni
- LINEE GUIDA TRATTAMENTO DATI SENTIBILI IN FORMATO DIGITALE
Cos’è il GDPR
Il cosiddetto GDPR è la più grande revisione delle norme sulla privacy online sin dalla nascita di Internet, che darà ai cittadini europei il diritto di sapere quali dati sono memorizzati su di essi e tutelerà il diritto di vederli cancellati.
Il testo, approvato il 14 aprile 2016 dal Parlamento europeo, pubblicato su Gazzetta Ufficiale europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, inizierà ad avere efficacia il 25 maggio 2018.
Il GDPR riguarda tutti
Il regolamento si applica a qualsiasi azienda, ovunque essa si trovi nel mondo, che tratti dati personali di cittadini dell’Unione Europea. Questo vuol dire che ogni entità che manipoli informazioni relative a cittadini della UE deve conformarsi alle norme del GDPR.
E’ dunque il nuovo Regolamento Europeo la prima legge globale sulla protezione dei dati e va presa molto seriamente. La conformità al 100% è richiesta fin dal giorno uno.
SCARICA IL TESTO INTEGRALE DELLA NORMATIVA GDPR
Dalla lettura integrale del tesTo evidenziamo i seguenti punti chiave:
• Sanzioni fino a €20 milioni o al 4% del fatturato worldwide. Esteso l’ambito territoriale, impatto anche per aziende extra UE.
• Data Breach. Obbligo di comunicazione entro 72h
• Privacy By Design. Il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento
• Codice Di Condotta. L’adesione da parte del responsabile del trattamento a un codice di condotta approvato può essere utilizzata come elemento per dimostrare le garanzie sufficienti
Impatto operativo
• Notifica in caso di Data Breach (Art. 33)
• Nomina del DPO Data Protection Officer
• Consenso (Art. 5-7, 9)
• Attenzione al trasferimento dei dati in paesi terzi (Art. 44)
• Profiling (Art. 22)
• Data portability & Diritto All’Oblio (Art. 17)
• Responsabilità del titolare del trattamento (Art. 24, 82)
• Pseudoanomizzazione dei dati (Art. 6 (4)(e))
• Codice di Condotta & Compliance (Art. 40, 41)
• Condizioni generali per infliggere sanzioni amministrative
pecuniarie (Art. 83)
• I dati non criptati devono essere identificati, il trattamento del dato multi-location e cross-nazionale deve essere sotto controllo
• Remediation veloce in caso di data breach
• Capacità di produrre elementi « digitali » probanti in caso di controversia