Il General Data Protection Regulation (GDPR) è il nuovo Regolamento sul trattamento dei dati, introdotto all'interno dell'Unione Europea il 25 maggio 2018La nuova normativa aumenta gli obblighi del Titolare del trattamento per garantire la tutela dei dati e i diritti del soggetto interessato. Il GDPR è caratterizzato da due aspetti:

  • Privacy by design: sin dall'inizio del progetto, bisogna stabilire le misure e le procedure adeguate per garantire la tutela dei dati trattati.
  • Privacy by default: i dati devono essere trattati con la massima chiarezza, indicando le finalità, le modalità e la durata del trattamento degli stessi.

Il GDPR si fonda su 5 punti:

  1. Liceità, correttezza e trasparenza: i dati personali dell'utente devono essere trattati in modo lecito, e con la massima correttezza e trasparenza, indicando in modo esplicito le finalità previste.
  2. Minimizzazione dei dati: deve essere raccolta e trattata la quantità di dati strettamente necessaria alle finalità previste.
  3. Esattezza: i dati personali devono essere esatti e aggiornati, in caso contrario bisogna provvedere a cancellare o a modificare i dati inesatti.
  4. Limitazione della conservazione: i dati personali devono essere archiviati solo per il periodo necessario al raggiungimento delle finalità previste.
  5. Integrità, sicurezza e riservatezza: devono essere eseguite tutte le misure adeguate per garantire la riservatezza, la sicurezza e l'integrità dei dati, in modo da proteggerli da furti o altri eventi accidentali.

Il GDPR garantisce una maggiore tutela dei diritti dei cittadini europei:

  • diritto alla trasparenza: l'informativa sulla privacy deve essere facilmente accessibile e con un linguaggio semplice e trasparente, indicando le finalità del trattamento, il periodo di conservazione dei dati, i nominativi e i contatti del responsabile del trattamento, le modalità per richiedere la cancellazione o la modifica;
  • diritto di accesso: l'utente può chiedere l'accesso ai propri dati e chiederne informazioni;
  • diritto di opposizione: l'interessato può opporsi al trattamento dei propri dati;
  • diritto alla portabilità dei dati: i dati devono essere esportabili in un determinato formato, in modo da garantire all'utente la possibilità di poter trasferire i propri dati da un fornitore all'altro;
  • diritto all’oblio o alla modifica dei dati: l'interessato può richiedere la cancellazione o la modifica dei propri dati in qualsiasi momento.

Se avviene una violazione o un furto dei dati personali (Data Breach), il titolare del trattamento dei dati deve inviare una notifica agli utenti e all'autorità di controllo entro 72 ore, pena sanzioni.

Nello specifico il titolare del trattamento dei dati deve:

  • spiegare con chiarezza come sono stati violati i dati personali;
  • comunicare il nome e i contatti del titolare o del responsabile del trattamento dei dati a cui rivolgersi per chiarimenti;
  • spiegare le conseguenze della violazione dei dati personali;
  • indicare le misure prese, per rimediare alla violazione dei dati personali.

Il GDPR si applica alle persone fisiche e giuridiche che trattano i dati personali dei cittadini dell'Unione Europea, anche se non residenti in Europa.

Dunque aziende, privati e professionisti che svolgono attività commerciali e professionali, devono rispettare gli adempimenti previsti dal GDPR.

Il GDPR non si applica ai privati che svolgono attività personali e che dunque non trattano dati di altre persone.

Il DPO, cioè il Data Protection Officer, è un ruolo introdotto dal nuovo Regolamento Europeo. Il DPO è il Responsabile della Protezione dei Dati e può essere un dipendente o un collaboratore esterno.

Questa figura è obbligatoria solo per le grandi aziende e si occupa principalmente di:

  • assicurare la protezione e la tutela dei dati;
  • dare informazioni e fornire consulenza al titolare o al responsabile del trattamento dei dati;
  • svolgere attività di formazione al personale o ai collaboratori che accedono o controllano i dati;
  • relazionarsi con l’autorità di controllo.

Le grandi imprese che hanno più di 250 dipendenti o che comunque trattano una grande quantità di dati, sono obbligate alla redazione del Registro delle Attività di Trattamento dei dati.

In questo registro vengono spiegate le procedure, le responsabilità, le misure di sicurezza, le finalità, le persone coinvolte e i software usati riguardo al trattamento dei dati.

Inoltre l'azienda deve redigere l’Inventario degli Asset Tecnologici, utilizzato per la gestione e sicurezza dei dati. Esso deve contenere:

  • archivi: database e file esportabili dei dati trattati;
  • dispositivi: server, computer, smartphone e qualsiasi dispositivo di rete presente nell'azienda;
  • software: tutti i software installati nei dispositivi di rete;
  • utenti: elenco degli utenti che accedono ai dispositivi e ai software dell'azienda

 

//www.comunikal.it/wp-content/uploads/2018/09/footer_logo_comunikal.png