La tua azienda si è adeguata al nuovo GDPR?
Il Gdpr (General data protection regulation) è un regolamento europeo su privacy e dati ed è operativo dal 25 maggio 2018. Eppure numerose aziende sono in ritardo sulle proprie azioni di adeguamento. Facciamo allora un rapido quadro della situazione.
Cosa è un regolamento?
Il regolamento è un atto legislativo dell’Unione europea, vale in tutti i paesi e diventa legge subito, senza attendere il recepimento da parte degli Stati membri. I paesi possono rivedere la propria legislazione se esistono incompatibilità con le nuove regole europee. In Italia, si è abolita la parte generale del vecchio Codice della privacy e si sono diluite le restanti norme in un decreto.
Cosa prevede il GDPR?
Il GDPR vuole uniformare le leggi europee sul trattamento dati e il nostro diritto a controllare le informazioni che ci riguardano. E’ composto da 99 articoli e istituisce alcune novità come il diritto all’oblio, la «portabilità» dei dati (si possono scaricare e trasferire dati da una piattaforma all’altra, senza vincolarsi a un certo account) e l’obbligo di notifica in 72 ore in caso di fughe di informazioni sensibili. I destinatari sono i «titolari del trattamento», ossia coloro che gestiscono le informazioni.
Qual’è l’impatto su un’azienda standard?
L’impatto è più ampio di quanto si possa pensare e riguarda tutte le aziende, anche se a livelli diversi di rischio. Infatti il GDPR è rivolto alle aziende che gestiscono qualsiasi tipo di dato personale, dalle informazioni sui propri dipendenti all’analisi di dati per attività di marketing targhettizzato.
Quali sono i principali obblighi?
Fra gli obblighi vanno sottolineati:
– richiesta di consenso in forma chiara (articolo 7)
– istituzione di un registro delle attività (articolo 30) dove si elencano le finalità dell’elaborazione dei dati, i destinatari, l’eventuale scadenza per la loro cancellazione
– designazione di un «responsabile protezione dati» (articolo 37)
– notifica delle violazioni entro 72 ore (articolo 33): in caso di violazione dei propri dati (data breach), il titolare deve comunicare l’accaduto «entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche»
– istituzione del data protection officer, che può essere un dipendente dell’azienda o una società esterna che vigilerà sull’applicazione effettiva del GDPR da parte del suo titolare
E se si viola il regolamento?
Se si viola il regolamento, scattano pesanti sanzioni per le aziende. A seconda della gravità dell’infrazione, le multe sono divise in due scaglioni: fino a un massimo di 10 milioni di euro o il 2% del fatturato (se superiore); oppure fino a un massimo di 20 milioni o il 4% del turnover in rapporto al giro d’affari.
La multa più pesante (20 milioni o 4% del turnover) arriva in caso di violazione dei principi fondamentali, quali la negazione del diritto all’oblio o l’opacità nella richiesta di consenso dei dati.
E’ previsto un periodo di “tolleranza” di sei mesi?
Non è chiaro. Il Garante alla privacy dovrebbe consentire una sorta di stand-by di sei mesi, quindi fino a novembre 2018, nel quale le aziende ritardatarie possono evitare sanzioni. Ma l’impresa deve comunque mostrare di avere avviato un piano di adeguamento ed essere consapevole delle priorità per rientrare nel perimetro del regolamento.
Come è bene muoversi?
Il consiglio per tutte le aziende che non abbiano ancora provveduto, è chiedere al più presto una consulenza in materia così da sistemare subito la parte documentale dell’adeguamento e capire quali accorgimenti di sicurezza informatica sia necessario adottare.
