Il Regolamento Generale sulla Protezione dei Dati è un regolamento dell’Unione europea in materia di trattamento dei dati personali e di privacy.
Con questo regolamento, la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini e residenti nell’Unione europea, sia all’interno che all’esterno dei confini.
Il 14 aprile 2016 è stato approvato definitivamente il GDPR. La nuova norma va ad abrogare integralmente la direttiva 95/46/CE (Privacy) in materia di protezione dei dati personali ed è entrata definitivamente in vigore il 25 maggio 2018.
LA TUA AZIENDA O IL TUO SITO È A NORMA?
Per adeguarsi al GDPR, occorre implementare una vasta gamma di misure per ridurre il rischio di violare il GDPR e consentire di dimostrare che si sta prendendo sul serio la governance sui dati.
Il nuovo regolamento prima di tutto introduce l’obbligo per le aziende di nominare un DPO ovvero un incaricato alla protezione dei dati che dovrà essere un dipendente o un consulente esterno.
Il DPO sarà incaricato di informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo, verificare l’applicazione e l’attuazione di tale regolamento, nonché fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti ed infine fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti.
Il secondo tipo di obbligo riguarda il data breach. Con data breach si intende la violazione dei dati personali. Il GDPR disciplina l’obbligo di notifica e comunicazione alle autorità di controllo in caso di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati.
Vi sono poi altri due criteri che sono stati introdotti dal nuovo regolamento e sono la privacy by design con cui si intende che la protezione dei dati personali deve essere garantita “fin dalla progettazione” e la privacy by default ovvero che la protezione dei dati personali deve essere garantita “per impostazione predefinita”.
Altra novità introdotta dal GDPR è il diritto all’oblio. Tale novità riguarda il dovere del titolare di cancellare i dati personali, di chi ne farà richiesta, senza indebito ritardo. Inoltre sono soggetti soggetti a queste regola anche i terzi con cui si condividono i dati di tali persone.
Un altro dei nuovi adempimenti previsti dal Regolamento riguarda valutazione d’impatto (DPIA).
La valutazione d’impatto sulla protezione dei dati deve essere effettuata dal titolare quando un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Sono molti, quindi, gli aspetti da analizzare e valutare per raggiungere la compliance rispetto al Regolamento. Fondamentale è avere una situazione chiara di dove sono i nostri dati, dove e come vengono mantenute le copie di sicurezza.
Alcuni significativi accorgimenti tecnici, tra cui antivirus aggiornati crittografia dei dati e password di protezione sicure, permettono di raggiungere buoni livelli di compliance rispetto al Regolamento, anche se sono solo una parte delle misure adeguate da applicare che devono essere valutate caso per caso.
Un’ ottima base di partenza sarà essere adeguati a:
- a norme come la ISO/IEC27001:2013
- la gestione dei Log degli amministratori di sistema (Provvedimento dell’autorità garante del 27/11/2008 S.M.I.)
- Misure Minime ITC (se siete una PA)
Smai è in grado di supportare enti e professionisti in tutti i passaggi dell’adeguamento al GDPR.
Se sei interessato a conoscere le nostre soluzioni consulta la pagina adeguamento al GDPR o contattaci per richiedere maggiori informazioni.