GDPR - Cos'è ?
GDPR è l’acronimo di General Data Protection Regulation. È la sigla che ormai abitualmente designa il Regolamento (UE) 2016/679 emanato il 27 aprile 2016 che stabilisce le regole valide in tutti i paesi dell’Unione Europea in materia di dati personali senza necessità di leggi nazionali di recepimento.
Il nuovo regolamento europeo tutela il diritto dei cittadini ad esercitare controllo su tutte proprie informazioni e non unicamente quelle sensibili, fornendo gli strumenti per rilasciare un consenso informato e il diritto di opporsi al trattamento dei dati.
Per questo motivo ogni azienda dovrà adeguare i propri processi a partire dalla raccolta delle informazioni fino al loro utilizzo e al rispetto delle finalità per le quali il dato è stato raccolto e per il quale il cittadino ha dato il consenso.
Come cambia l’informativa
L'informatica cambia, smette di essere un adempimento normativo diventando uno strumento di informazione.
La normativa prevede che il titolare del trattamento dati fornisca tutte le informazioni in maniera trasparente, facilmente accessibile con linguaggio semplice e chiaro.
Le informazioni posso essere anche schematizzata usando una comunicazione fatta di icone e soprattutto la comunicazione può avvenire a strati e in maniera graduale.
Le sanzioni in caso di violazione del nuovo regolamento europeo sono aumentate
• Fino a € 20.000.000 per i privati e le imprese non facenti parte di gruppi
• Fino al 4% del fatturato complessivo (consolidato) per i gruppi societari
Analisi del rischio
Il nuovo GDPR prevede un nuovo adempimento, il Data Protection Impact Assessment (DPIA) ovvero una valutazione dei rischi generati dal trattamento dei dati aziendali.
In concentro le aziende dovranno effettuare una valutazione dei richi e dell'impatto del trattamento dei dati sin dalla progettazione dei processi aziendali e quindi degli applicativi informatici a supporto degli stessi.
La valutazione dei rischi è solo la prima fase del processo di adeguamento perché periodicamente le aziende dovranno inoltre definire una lista di criticità nei loro processi e definire altresì i piani di intervento per le stesse .