Si avvicina la data del 25 maggio 2018: fra un mese sarà direttamente applicabile in tutti gli Stati membri dell’Unione Europea il Regolamento UE 2016/679 o GDPR Privacy (General Data Protection Regulation).
La nuova legge sul trattamento dei dati personali avrà pesanti implicazioni sull’organizzazione delle aziende, ma ancora molte imprese ed enti pubblici non sono pronti ad accogliere le novità del nuovo provvedimento.
Nei prossimi paragrafi rivediamo insieme perché è stata introdotta la nuova norma ed una sintesi delle principali novità previste dal GDPR privacy.
Il Regolamento, che sostituisce l’attuale Direttiva sulla Privacy, è la normativa europea più importante degli ultimi 20 anni in materia di protezione dei dati personali. Ha l’obiettivo di rendere omogenee le leggi nazionali e di adeguare il quadro normativo al nuovo contesto digitale che in pochi anni ha fatto balzi da gigante, ma che ha portato con sé molti più rischi per i dati sensibili delle persone. Si applica sia alle aziende che si trovano in uno degli Stati membri dell’UE, sia a quelle extra-UE che vendono prodotti e servizi all’interno del mercato unico europeo.
Dal 25 maggio, imprese ed enti avranno più responsabilità e potranno incorrere in pesanti sanzioni se non rispettano gli obblighi imposti dal GDPR privacy, infatti, la nuova norma:
- introduce regole più chiare su informativa e consenso al trattamento dei dati
- definisce i limiti al trattamento automatizzato dei dati personali
- introduce nuovi diritti per chi lascia i propri dati
- stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Unione Europea
- in caso di violazione dei dati (data breach) impone nuovi obblighi a carico del Titolare del trattamento
Il principio di accountability o “responsabilizzazione” impone a Titolare e Responsabile del trattamento di adottare concretamente tutte le misure necessarie alla protezione dei dati: devono quindi rendere ogni trattamento conforme al GDPR, analizzare i rischi, garantire (e dimostrare) il rispetto della norma comunitaria. Le aziende devono, inoltre, rispettare anche il principio di privacy by default (proteggere il dato per impostazione predefinita) e di “privacy-by-design”: il dato va protetto fin dal primo momento in cui viene acquisito, perciò organizzazione, processi interni e struttura IT dell’impresa devono essere predisposti per mettere in sicurezza i dati personali fin da subito.
Per poter tutelare i diritti dell’interessato, le aziende devono adottare misure tecniche e organizzative, e dimostrare per quale motivo il dato viene conservato e trattato.
Leggi di più: Nuovo GDPR sulla Privacy e sicurezza dei dati sanitari: ancora pochi mesi per adeguarsi!
In caso di violazione dei dati, il Titolare dovrà informare il Garante entro 72 ore dal momento in cui viene a conoscenza del data breach. Se la violazione rappresenta una minaccia per i diritti e le libertà delle persone, dovrà informare anche gli interessati in modo chiaro, semplice e immediato. Tuttavia, se riterrà che la violazione non abbia rischi elevati o se dimostrerà di aver adottato le necessarie misure di sicurezza, potrà anche decidere di non informarli.
La sanzione per chi viola il nuovo regolamento può arrivare fino al 4% del fatturato mondiale annuo e fino a 20 milioni di euro.
Diritto di accedere ai propri dati, correggerli, integrarli, modificarli, chiederne la cancellazione e opporsi al loro trattamento: alcuni dei diritti riconosciuti dal GDPR privacy sono già noti, in più dal 25 maggio:
Il GDPR privacy introduce una nuova figura: il Data Protection Officer. È un professionista che può essere interno all’azienda o esterno ed ha il compito di osservare, valutare e organizzare le attività di trattamento dei dati personali raccolti, e proteggerli, nel rispetto delle norme europee e nazionali sulla privacy.
Non tutte le aziende devono necessariamente nominarlo, ma in alcuni casi è obbligatorio.
Va nominato:
1) se chi tratta i dati personali è un’autorità pubblica o un organismo pubblico
2) se le attività principali di chi tratta i dati (il Titolare o il Responsabile del trattamento) riguardano trattamenti dei dati personali che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala
3) se le attività principali di chi tratta i dati consistono nel trattamento su larga scala dei dati personali elencati all’art. 9 del Regolamento, cioè i dati sensibili (origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona), oppure i dati relativi a condanne penali e reati elencati all’art. 10 del Regolamento.
Leggi anche: Chi è il Data Protection Officer e quando è obbligatorio?
Mancano 4 settimane all’applicazione del GDPR privacy: la tua struttura è pronta?
GIPO ha scelto la sicurezza, ci affidiamo a Microsoft Azure, il miglior servizio Cloud attualmente disponibile sul mercato. Contatta un nostro esperto per sapere come teniamo al sicuro i dati dei nostri clienti e dei loro pazienti.