Vai al contenuto

Servizi e Consulenza

GDPR

Adeguarsi al GDPR è un obbligo di legge, ma anche un'opportunità per rendere i propri servizi più affidabili e sicuri.

Adeguarsi al GDPR è un obbligo di legge, ma anche un’opportunità per rendere i propri servizi più affidabili e sicuri.

Dal 25/05/2018 è in vigore in tutti gli stati membri dell’Unione Europea, il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation), relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali, il quale abrogherà la Direttiva 95/46/CE ormai superata, modificando anche il D. Lgs. n.196/2003, c.d. Codice della privacy.

Il GDPR nasce da precise esigenze e con un preciso obbiettivo: armonizzazione e dare maggiore semplicità alle norme riguardanti il trasferimento di dati personali nell’UE e dall’UE verso altre parti del mondo.

In sintesi, i punti principali su cui verte il GDPR sono:

introduzione regole più chiare sul consenso informato;
definizione dei limiti al trattamento automatizzato dei dati personali;
basi per l’esercizio di nuovi diritti;
criteri rigorosi per il trasferimento dei dati al di fuori dell’UE;
introduzione di regole restrittive, sulla sicurezza, sulla diffusione e sui tempi di custodia, dei dati sensibili;
introduzione di norme rigorose per i casi di violazione dei dati (data breach), con importanti sanzioni in caso di violazione delle norme.
Col GDPR vengono istituite inoltre le figura del DPO (Data Protection Officer), il Responsabile trattamento Dati, il Registro dei trattamenti, il principio di Privacy by design e Privacy by default, le nuove procedure che il titolare del trattamento deve rispettare, tra cui la valutazione di impatto sulla protezione dei dati (DPIA), la data breach notification e l’adesione a meccanismi di certificazione della conformità delle misure adottate.

In particolare, il GDPR accentua la responsabilità del titolare e del responsabile attraverso il principio di accountability, permeato di obblighi relativi all’adozione di adeguate misure di sicurezza – tra cui la pseudonimizzazione e la cifratura dei dati non solo durante o dopo il trattamento, ma anche in una fase pregressa.

Tali misure devono essere poi costantemente monitorate e proporzionate ai rischi, connesse ad un’analisi e ad una capillare valutazione del rischio ex ante derivante dalle operazioni di trattamento.

Oltre a garantire l’efficacia delle misure adottate, il titolare del trattamento deve dimostrare, su richiesta, di aver intrapreso le predette azioni, ovvero l’adozione delle succitate misure di sicurezza e la valutazione preventiva del rischio.

Le norme si applicano a tutte le aziende, imprese, organizzazioni, sia tradizionali che Digitali, che trattano dati sensibili, anche se situate fuori dall’Unione Europea, ma che offrono servizi o prodotti all’interno del mercato Ue.

Tutte le aziende, Imprese ed enti, ovunque stabilite, dovranno quindi rispettare la nuova normativa e avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni.