pulsante lavora con noi studio essepi

Consulenza e formazione. Dal 1995 un punto di riferimento per aziende e professionisti.

Magazine

GDPR e privacy 2018: cosa cambia con il nuovo Regolamento Europeo

GDPR e privacy 2018: cosa cambia con il nuovo Regolamento Europeo

Il nuovo Regolamento Europeo sulla Protezione dei Dati Personali (GDPR) entrerà definitivamente in vigore il 25 maggio 2018.

Si tratta di una data importante per le imprese che, per non incappare in pesanti sanzioni (inasprite rispetto a quelle previste fino a questo momento), devono muoversi per tempo per mettere in atto gli adempimenti richiesti.

Uniformando la normativa sulla privacy a livello europeo, l'obiettivo è quello di semplificare le norme e restituire ai cittadini il controllo dei propri dati personali, ma finora solo un'azienda su due è a conoscenza degli obblighi previsti dal GDPR 2018. In questo articolo vedremo cosa cambia e le sanzioni previste.

GDPR 2018 e privacy: cosa cambia

Una delle maggiori novità del Regolamento Europeo sulla Protezione dei Dati Personali è senz’altro il suo ambito di applicazione: infatti, verranno trattati i dati “indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione” (art.1).

Altro elemento di rilievo riguarda la responsabilizzazione dei titolari nei confronti dei trattamenti dei dati (accountability).
Essi non solo devono garantire l'osservanza delle norme, ma anche dimostrare di mettere in pratica le misure previste. Per fare questo è necessaria una valutazione d'impatto della protezione dei dati (in altri termini, una valutazione del rischio a tutti gli effetti), correlata anche a due ulteriori novità: la privacy by design e by default (art. 25)

Il principio della Privacy by Design richiede un approccio proattivo (e non più reattivo) alla protezione dei dati personali, rendendo necessario prevedere modalità operative, configurazioni e misure di sicurezza in grado di salvaguardare la riservatezza, l’integrità e la disponibilità dei dati personali “by default”, ovvero nel momento in cui essi “entrano” nell’organizzazione.

Il GDPR 2018 introduce, inoltre, una nuova figura: si tratta del Responsabile della protezione dei dati (DPO - Data Protecion Officer), che si accerta che il titolare o il responsabile al trattamento dei dati osservino gli obblighi previsti.

Nuovo Regolamento (UE) 2016/679: obblighi e diritti

Tra i nuovi obblighi del Regolamento UE 2016/679 è previsto che il titolare debba sottoscrivere informative sulla privacy che dovranno essere redatte in modo conciso, trasparente, intelligibile e facilmente accessibile (specificando, inoltre, il periodo di conservazione dei dati).

Un altro punto molto importante riguarda il data breach, ovvero la violazione dei dati personali. Il GDPR stabilisce che i titolari dei trattamenti saranno obbligati ad avvisare l’Autorità di Controllo entro 72 ore per le violazioni da cui possano derivare rischi per diritti e libertà degli interessati. In determinati casi, inoltre, la comunicazione andrà effettuata anche ai diretti interessati.

Per quanto riguarda, invece, i nuovi diritti dell’interessato, è bene citare il diritto alla portabilità dei dati, che gli permette di ricevere i dati personali precedentemente forniti a un titolare del trattamento e trasmetterli, senza impedimenti, a un altro titolare.

Viene regolamentato, inoltre, il diritto alla cancellazione (noto come diritto all'oblio), in cui il titolare del trattamento ha l'obbligo di cancellare i dati personali che riguardano l'interessato in caso di non utilizzo rispetto alle finalità, di revoca del consenso, di opposizione al trattamento e di illecito.

Il legislatore ha anche ridefinito il concetto di “consenso”, ovvero qualsiasi manifestazione libera, specifica, informata e inequivocabile della volontà dell’interessato. È valido solo se la volontà è espressa in modo non equivoco per ogni singolo trattamento.

GDPR 2018: le sanzioni

Per quanto riguarda le sanzioni previste dal Regolamento Europeo sulla privacy (art.83) è bene considerare che le decisioni spettano agli organi di controllo competenti ovvero, in Italia, al Garante per la Protezione dei Dati Personali.

Sulla base di diversi fattori (quali natura e gravità delle violazioni, misure adottate per attenuare il danno, carattere doloso o colposo, ecc) si può arrivare a multe davvero pesanti per privati e imprese, che rischiano di incidere pesantemente sul futuro dell'attività.

In linea generale le sanzioni pecuniarie amministrative possono prevedere:

 - multa fino a 10 milioni di euro o, per le imprese, fino al 2% del volume d'affari globale dell'anno precedente nei casi previsti all'art.83, paragrafo 4;
 - multa fino a 20 milioni di euro o, per le imprese, fino al 4% del volume d'affari globale dell’anno precedente nei casi previsti all’art.83, paragrafi 5 e 6.


 


chiara-merci-studio-essepi  

Scritto da: Chiara Merci


Consulente e formatrice esperta in igiene alimentare, sistemi di gestione e privacy, cantante e amante di musica e viaggi.





Chiamaci

045 8621499