GDPR - Cos'è e come prepararsi

GDPR è l’acronimo di General Data Protection Regulation. È la sigla che ormai abitualmente designa il Regolamento (UE) 2016/679 emanato il 27 aprile 2016 che stabilisce le regole valide in tutti i paesi dell’Unione Europea in materia di dati personali senza necessità di leggi nazionali di recepimento.

Il nuovo regolamento europeo tutela il diritto dei cittadini ad esercitare controllo su tutte proprie informazioni e non unicamente quelle sensibili, fornendo gli strumenti per rilasciare un consenso informato e il diritto di opporsi al trattamento dei dati.

Per questo motivo ogni azienda dovrà adeguare i propri processi a partire dalla raccolta delle informazioni fino al loro utilizzo e al rispetto delle finalità per le quali il dato è stato raccolto e per il quale il cittadino ha dato il consenso.

L'informatica cambia, smette di essere un adempimento normativo diventando uno strumento di informazione.

La normativa prevede che il titolare del trattamento dati fornisca tutte le informazioni in maniera trasparente, facilmente accessibile con linguaggio semplice e chiaro.
Le informazioni posso essere anche schematizzata usando una comunicazione fatta di icone e soprattutto la comunicazione può avvenire a strati e in maniera graduale.

Le sanzioni in caso di violazione del nuovo regolamento europeo sono aumentate
• Fino a € 20.000.000 per i privati e le imprese non facenti parte di gruppi
• Fino al 4% del fatturato complessivo (consolidato) per i gruppi societari

Il nuovo GDPR prevede un nuovo adempimento, il Data Protection Impact Assessment (DPIA) ovvero una valutazione dei rischi generati dal trattamento dei dati aziendali.

In concentro le aziende dovranno effettuare una valutazione dei richi e dell'impatto del trattamento dei dati sin dalla progettazione dei processi aziendali e quindi degli applicativi informatici a supporto degli stessi.

La valutazione dei rischi è solo la prima fase del processo di adeguamento perché periodicamente le aziende dovranno inoltre definire una lista di criticità nei loro processi e definire altresì i piani di intervento per le stesse .

Progettare il trattamento by design (seguendo tutto il ciclo di vita dell'informazione)

Dimostrare la conformità della propria azienda alla normativa

Obbligo di introdurre un Data Privacy Officer in azienda nel caso di Pubblica Amministrazione , aziende con +250 dipendenti o aziende che compiono profilazione su larga scala (attività su internet)

Obbligo di comunicare entro 72 ore eventuali fughe o compromissioni di dati alle autorità competenti

Predisporre i nuovi processi secondo la logica Privacy By Design affidandosi a esperti che aiutino la tua azienda ad adempiere gli obblighi e minimizzare l'impatto in termini di costi di gestione

Fare inventario di cosa comporta introdurre l'indicazione delle fonte dei dati e il tempo di conservazione degli stessi

Analizzare i dati in proprio possesso e tenerne una mappatura aggironata

Introdurre un Data Privacy Officer in azienda

Predisporre nuove regole per l'acquisizione del consenso al trattamento dati

Affidarsi a esperti che aiutino la tua azienda ad adempiere gli obblighi di definizione dei processi by design e minimizzare l'impatto in termini di costi di gestione

ELMI

GDPR – Cos’è e come prepararsi

GDPR - Cos'è ?

Come cambia l’informativa

Analisi del rischio

I Nuovi obblighi

La tua azienda non è ancora pronta?

Come arrivare pronti