Come ci si adegua al GDPR?
IL GDPR cosa é?
Entrerà in vigore il 25 Maggio 2018 il nuovo Regolamento Generale sulla protezione dei dati, meglio noto con l’acronimo “GDPR – General Data Protection Regulation”. Il Regolamento sostituisce le normative dei singoli paesi ed estende la giurisdizione a tutte le società che trattano dati personali di soggetti risiedenti nell’Unione Europea.
Nel nuovo Regolamento il concetto di Data Protection sostituisce quello di Privacy e la definizione di “dato personale” viene estesa agli identificatori online, quali numeri IP, cookie e dati di geolocalizzazione oltre che alle classiche anagrafiche presenti in qualsiasi gestionale e archivio email.
Le aziende che non saranno conformi rischieranno multe fino a 20 milioni di € o un’ammenda fino al 4% del fatturato globale annuo.
Misure di Sicurezza Adeguate al rischio
Secondo il nuovo regolamento le aziende devono dimostrare:
- di avere ricevuto un consenso esplicito per tutti i dati personali raccolti
- di utilizzare i dati personali dei clienti in modo trasparente e appropriato
- di preservare i dati personali dalla distruzione accidentale o illegale, dalla perdita, dalla modifica, dall’accesso e dalla divulgazione non autorizzati
- di essersi adeguate alla normativa tramite misure di data governance che includano documentazione dettagliata, registrazione e valutazione continua del rischio
La sicurezza deve essere parte integrante di tutti i sistemi fin dalla loro progettazione (Privacy By Design) e le misure di protezione dei dati devono utilizzare tecnologie di sicurezza della rete innovative e costantemente aggiornate (allo “stato dell’arte” tecnologico). Occorre garantire controllo dell’accesso ai dati, protezione attiva della rete, automazione, monitoraggio e analisi.
Il titolare deve implementare le misure di sicurezza solo dopo aver valutato il Rischio a cui i dati personali trattati vengono sottoposti.
Non c’è più come prima una lista della spesa di misure minime, ma una responsabilizzazione del titolare del trattamento che deve dimostrare di proteggere i dati personali che sta trattando tenendo conto del “valore” dei dati stessi, della possibilità reale che la loro sicurezza venga compromessa e dell’impegno che graverebbe sull’azienda per la loro tutela.
Se sei il titolare di una MICRO IMPRESA o un PROFESSIONISTA ti consigliamo:
- Di attendere la imminente compilazione di linee guida da parte delle associazioni di categoria per quanto riguarda le informative, i documenti ed i registri da elaborare e tenere aggiornati;
- Di prendere da subito in considerazione un’ adeguamento per quanto riguarda l’infrastruttura informatica: un processo che non può essere effettuato in pochi giorni ed in tutta fretta.
Se sei invece una MEDIA IMPRESA, un ENTE STATALE o comunque un organizzazione che tratta, ome specificato dal GDPR, DATI SENSIBILI:
Muoviti subito facendoti affiancare anche da una figura esperta in legislatura informatica e trattamento di dati personali.