Il GDPR è stato di recente uno degli argomenti più cercati sul web, poiché le società di tutto il mondo si sono affrettate a verificare di essere pronte per le nuove norme sulla privacy e protezione dati personali.

Dopo la scadenza del 25 maggio, le nuove regole sono ora entrate in vigore, il che significa che ora la tua azienda deve garantire di essere conforme.

Ma cosa comporta esattamente il GDPR? Ecco un primo assaggio di ciò che devi sapere, per tutti gli approfondimenti visita il nostro sito e scopri tutto sui temi della privacy e data protection.

Cos’è GDPR?  Data Protection Law | Privacy e protezione dati personali

Il Regolamento generale sulla protezione dei dati, o GDPR, (o Regolamento UE 2016/679) è uno dei testi legislativi più significativi e di ampio respiro relativi alla tecnologia e a Internet.

Approvato dall’Unione europea nell’aprile 2016 e entrato in vigore nei vari Paesi il 25 maggio, il GDPR cerca di riunire diverse leggi e regolamenti esistenti per armonizzare le decisioni in tutta l’UE.

In primo luogo, sostituisce la legge sulla protezione dei dati presente in ciascuno Stato membro, nella parte in cui è in contrasto col nuovo Regolamento, e la direttiva sulla protezione dei dati dell’UE, che è entrata in vigore inizialmente nel 1995, con nuove linee guida più adatte al mondo moderno, dominato dalla tecnologia.

I punti principali del GDPR riguardano i diritti alla privacy degli utenti e i dati che vengono raccolti online e interesseranno le aziende di tutte le dimensioni a causa del loro effetto sul modo in cui le aziende raccolgono, archiviano e si occupano dei dati.

In base al GDPR, le aziende dovranno anche dare esplicito avviso quando raccolgono i dati personali dei loro clienti. Ciò significa che il consenso dovrà essere esplicitamente fornito e che le società dovranno dettagliare lo scopo esatto per cui verranno utilizzati i dati dei clienti.

Questi dati personali dovranno inoltre essere crittografati per impostazione predefinita come parte di un processo noto come pseudonimizzazione, il che significa che un dato non può essere collegato a una persona specifica senza essere accompagnato da ulteriori informazioni.

I dati personali si applicano a una vasta gamma di informazioni, in pratica qualsiasi cosa possa essere utilizzata per identificare direttamente o indirettamente una persona online. Questo potrebbe includere nomi, indirizzi e-mail, immagini, dettagli bancari, post sui siti web di social network, informazioni mediche o persino un indirizzo IP del computer.

Gli utenti avranno anche il diritto di sapere esattamente quali sono i dettagli che un’azienda o un’organizzazione detengono su di loro, e inoltre chiedere che tali informazioni vengano cancellate se ritengono che i loro diritti alla privacy vengano violati come parte del nuovo “diritto alla cancellazione”.

Le aziende che subiscono violazioni dei dati, sia accidentali che come parte di un attacco informatico, dovranno rivelare questo evento alle autorità competenti entro 72 ore dal suo verificarsi, anche se non è necessario informare gli utenti a meno che non venga richiesto.

A chi si rivolge GDPR?  Data Protection Law | Privacy e protezione dati personali

In parole povere, se la tua azienda offre beni o servizi a chiunque viva all’interno dell’Unione europea, il GDPR si applicherà anche a te.

Ciò significa che le società extraeuropee dovranno assicurarsi di essere conformi alle regole, in quanto potrebbero essere soggette a multe se non dovessero essere al passo con la normativa europea.

Se hai una  mailing list per newsletter o promozioni e alcuni dei tuoi potenziali clienti o clienti sono cittadini dell’UE, il GDPR si applica anche a te, sebbene la tua sede sia in Asia o in America.

Cosa devo fare per essere pronto per il GDPR?  Data Protection Law | Privacy e protezione dati personali

Come accennato in precedenza, se si tratta di clienti all’interno dell’UE, è necessario assicurarsi che il modo in cui raccogli, memorizzi e utilizzi i loro dati sia conforme al GDPR.

Per cominciare, dovrai identificare esattamente quali dati possiedi attualmente e i mezzi con cui li hai acquisiti. Molte organizzazioni potrebbero ignorare la montagna di informazioni che possiedono sui propri clienti, proprio come i loro clienti potrebbero non sapere quante informazioni hanno condiviso.

Tutti i dati dovranno essere adeguatamente protetti per garantire che rimangano al sicuro, quindi vale sicuramente la pena mettere a punto nuove politiche per limitare l’accesso ai dati più preziosi ad alcuni membri chiave del team.

Dovresti anche eseguire frequentemente il backup dei tuoi dati, in quanto i clienti GDPR possono richiedere di visualizzare esattamente quali informazioni hai su di loro in qualsiasi momento.

Se la tua azienda svolge trattamento di dati su larga scala, dovrai anche nominare un responsabile della protezione dei dati (DPO).

Un responsabile della protezione dei dati sarà in grado di assumersi la responsabilità di gran parte delle attività di adeguamento quando si tratta di GDPR, compresa la supervisione della conformità e della protezione dei dati.

Infine, dovrai assicurarti che tutti i tuoi dipendenti siano informati su cosa significhi esattamente il GDPR. Le regole non sono solo una prerogativa del reparto IT, ma potrebbero riguardare chiunque nella tua organizzazione.

Cosa succede se non sei pronto per GDPR?  Data Protection Law | Privacy e protezione dati personali

Qualsiasi organizzazione ritenuta non conforme ai nuovi regolamenti dopo la scadenza del 25 maggio potrebbe essere soggetta a pesanti multe, pari al 4% del fatturato globale annuale, o 20 milioni di euro, a seconda di quale sia maggiore.

Resta da vedere esattamente come il GDPR sarà monitorato, e se le multe saranno distribuite a tutte le aziende grandi e piccole, ma per ora la migliore linea d’azione è prepararsi il più possibile.

Quando è necessario nominare un responsabile della protezione dei dati?  Data Protection Law | Privacy e protezione dati personali

Secondo i termini del GDPR, un’organizzazione deve nominare un responsabile della protezione dei dati (DPO) se esegue un’elaborazione su vasta scala di speciali categorie di dati, effettua il monitoraggio su vasta scala di individui come il monitoraggio del comportamento, o se è un’autorità pubblica.

Nel caso delle autorità pubbliche, un singolo responsabile della protezione dei dati può essere nominato in un gruppo di organizzazioni. Sebbene non sia obbligatorio, per organizzazioni al di fuori di quelle sopra elencate, nominare un responsabile della protezione dei dati, tutte le organizzazioni dovranno assicurarsi di disporre delle competenze e del personale necessarie per essere conformi alla legislazione GDPR.

Non ci sono criteri stabiliti su chi dovrebbe essere un DPO o quali qualifiche dovrebbero avere, ma dovrebbero avere esperienza professionale e una conoscenza della legislazione sulla protezione dei dati proporzionata a ciò che è l’oggetto di attività dell’impresa.

La mancata nomina di un responsabile della protezione dei dati, se richiesto da GDPR, potrebbe contare come non conformità e comportare una multa.

Come si presenta la conformità GDPR? Data Protection Law | Privacy e protezione dati personali

Il GDPR potrebbe sembrare complesso, ma la verità è che, per la maggior parte, la legislazione sta consolidando i principi che attualmente fanno parte del Codice della privacy in vigore nel nostro ordinamento.

Non esiste un approccio che vale per tutti. Piuttosto, ogni azienda dovrà esaminare ciò che esattamente deve essere raggiunto per conformarsi e chi è il responsabile del trattamento dei dati che si è assunto la responsabilità di garantire che ciò accada.

In definitiva, tali misure dovrebbero ridurre al minimo il rischio di violazioni e tutelare la protezione dei dati personali. In pratica, questo probabilmente significherebbe più politiche e procedure di sicurezza per le aziende, anche se molte organizzazioni avranno già delle buone misure di governance.

In base alle disposizioni del GDPR che promuovono responsabilità e governance, le aziende devono attuare adeguate misure tecniche e organizzative. Queste potrebbero includere disposizioni sulla protezione dei dati (formazione del personale, audit interni delle attività di elaborazione e revisioni delle politiche in materia di risorse umane), nonché la documentazione sulle attività di trattamento.

Altre strategie che le organizzazioni possono considerare includono la minimizzazione dei dati e la pseudonimizzazione, o sistemi che consentono alle persone di monitorare il trattamento.