di Valentina Ferrero
Ecco le novità che saranno introdotte a partire dal 25 maggio 2018 quando entrerà in vigore il GDPR
MILANO – Mancano solo quattro mesi all’entrata in vigore del nuovo regolamento sulla privacy 2016/679, il cosiddetto GDPR. Quattro mesi per adeguarsi alla normativa (il termine ultimo è fissato per il prossimo 25 maggio 2018) che ha letteralmente mandato nel panico le aziende, tanto da spingere la Commissione europea a mettere in rete uno strumento specifico per le PMI al fine di supportarle a conformarsi alle nuove norme in materia di protezione dei dati e a trarne vantaggi. Ovviamente senza incorrere in salate sanzioni che potrebbero arrivare fino a 20 milioni di euro.
Anche perchè il regolamento rappresenta un passo molto importante nel segmento della privacy di oggi, il cui recinto è quotidianamente minato dall’evoluzione tecnologica. Di fatto, il GDPR, riconosce il valore che i cittadini dell’UE attribuiscono ai propri dati e al modo in cui sono trattati. Nell’era delle aziende che raccolgono e sfruttano grandi quantità di dati, diventa sempre più importante rassicurare i clienti sul fatto che nessun terzo ha accesso ai loro dati. Un vantaggio importante per le aziende, le quali potranno dimostrare ai clienti che i loro dati sono al sicuro.
«Nonostante tutti, o quasi, siano informati e sensibilizzati sul tema, molti ancora non sanno cosa aspettarsi, quali siano le novità del GDPR e quali siano i comportamenti da adottare», ci ricorda Alessandro Basile, di Legal DS, studio legale a Milano specializzato sulle tematiche privacy e investimenti in startup. Secondo una recente indagine di Sas, circa il 58% delle imprese (specialmente quelle medio-piccole) non è affatto consapevole dell’impatto che il regolamento comunitario avrà dalla sua entrata in vigore. Le novità introdotte, tuttavia, saranno dirompenti e vanno dal principio di accountability al Data Protection Officer. Vediamole più nello specifico.
Principio di accountability e notificazione data breach
Si tratta della principale novità introdotta dal GDPR, ci spiega Alessandro. «E’ il principio che dispone l’auto-responsabilizzazione del titolare del trattamento dati (solitamente la società o il professionista) in quanto impone a questo una auto-valutazione, tra le tante questioni, di come si stia effettuando il trattamento dati, che tipo di dati si stanno trattando, quali siano le misure di sicurezza adottate e di dove siano collocati i dati». Grazie a questo principio viene abrogata la notifica preventiva al Garante della Privacy e la notificazione nel caso in cui ci sia una data breach. «Questa – spiega meglio Alessandro – andrà valutata dal titolare in base alla gravità del breach e alla tipologia del trattamento che si sta effettuando».
Privacy by design e privacy by default
La normativa europea introduce altresì i principi secondo cui il titolare del trattamento dovrà assicurarsi che in fase di sviluppo software/hardware lo sviluppatore sia compliant alla nuova normativa (by design) e a sua volta, in fase di implementazione all’interno della sua struttura, il titolare dovrà rendersi compliant al GDPR (by default).
Codice di condotta, registro trattamento, certificazioni, diritto all’oblio e alla portabilità dei dati e Data Protection Impact Assessment
Parliamo, in questo caso, di due importanti diritti introdotti dalla normativa comunitaria, il diritto all’oblio e alla portabilità dei dati. In merito agli stessi l’UE ha disposto che l’interessato ha il diritto di ottenere dal titolare al trattamento dei dati personali la loro cancellazione nell’immediato, così come il titolare è obbligato a cancellarli, previa presenza di alcuni determinati requisiti che sono stati stabiliti dal regolamento stesso, come la revoca del consenso, il trattamento illecito o la cessazione dell’utilità dei dati medesimi. «Questi diritti/obblighi – ci spiega Alessandro – andranno necessariamente inseriti nell’informativa privacy, mentre la documentazione inserita dal nuovo regolamento sarà facoltativa a meno che non ci siano più di 250 dipendenti (registro di trattamento) o il trattamento dati non sia di una determinata tipologia o comporti un rischio per gli interessati (Data Protection Impact Assessment)».
Data Protection Officer
In ultimo, il Data Protection Officer è il nuovo ufficio introdotto dal GDPR, obbligatorio in alcuni casi, che può essere sia interno che esterno alla struttura del titolare del trattamento che monitora e vigila sulla corretta applicazione del regolamento stesso.
Nel caso in cui vogliate delle informazioni più preciseriguardo alla vostra azienda, potete rivolgervi ad Alessandro a questa mail a.basile@legalds.com.
Fonte: www.diariodelweb.it