Nuovo Regolamento europeo sulla protezione dei dati: cosa conoscere e come prepararsi
Il nuovo Regolamento Generale sulla Protezione dei Dati?(GDPR) sarà applicato, in?tutti i Paesi UE, a decorrere dal?25 maggio 2018.?In questo post ti descrivo i dettagli e le misure da adottare per prepararsi al meglio.
La nuova?Legge sulla privacy dei dati?(GDPR) ha introdotto importanti novità e cambiamenti. Definisce un quadro comune in materia di tutela dei dati personali?e comprende anche la?Direttiva in materia di trattamento dati?nei settori di prevenzione, contrasto e repressione dei crimini.
I documenti del GDPR
Lo scorso 13 dicembre 2016 il?Gruppo dei Garanti UE (WP29)?ha pubblicato?tre documenti?contenenti indicazioni e raccomandazioni su importanti novità del Regolamento, in vista della sua applicazione:
- il?diritto alla portabilità dei dati;
- ha istituito il D.P.O., ovvero il responsabile per la protezione dei dati;
- ha definito L’Autorità capofila.
Con il nuovo GDPR il legislatore europeo intende?rafforzare la tutela dei dati personali?dei cittadini dell’Unione di fronte ai nuovi rischi di un mondo in forte evoluzione digitale.
Il diritto alla portabilità dei dati nella legge sulla privacy
In capo all’interessato, nel primo?documento, troviamo:
- il?diritto alla portabilità dei dati: la possibilità di richiedere al titolare una copia dei dati, oggetto del trattamento.
- la?semplice trasmissione dei dati: l’interessato deve essere in grado di trasmettere i dati ad un altro titolare del trattamento, senza alcun impedimento al trasferimento.
Il titolare è tenuto a fornire all’interessato la copia dei dati che deve essere resa in un?formato idoneo?a soddisfare alcuni requisiti.
Copia dei dati e formato da utilizzare
I titolari del trattamento dovrebbero offrire diverse implementazioni del diritto alla portabilità dei dati. I dati devono soddisfare le seguenti proprietà:
- essere resi in un?formato “strutturato”, “di uso comune” e “leggibile da dispositivo automatico”. Non in formato cartaceo, ma?digitale. (art.20?del Regolamento);
- il formato mediante il quale i dati oggetto del trattamento sono forniti all’interessato dovrebbe essere interoperabile, per consentire la piena portabilità. (art n. 68?del Regolamento).
Tale diritto determinerà quindi una notevole semplificazione del processo mediante il quale l’interessato può copiare, spostare o trasmettere i propri dati da un Titolare del trattamento ad un altro.
Il ruolo del responsabile per la protezione dei dati (DPO,?Data Protection Officer)
Il DPO (Responsabile della Protezione dei dati) è un professionista, interno o esterno all’azienda, che deve avere competenze giuridiche, informatiche, di risk management, di analisi dei processi.
Il DPO?ha il compito di?facilitare il rispetto, da parte delle singole organizzazioni,?delle disposizioni?dettate dal nuovo Regolamento Europeo. Affinché il D.P.O. possa assolvere le proprie funzioni, è necessario:
- che venga consultato ogniqualvolta debbano essere adottate decisioni che comportino implicazioni in tema di protezione dei dati personali;
- che tale figura sia posta nelle condizioni di operare in modo del tutto indipendente e non si trovi, tra l’altro, in una situazione di conflitto d’interessi rispetto ad eventuali posizioni ricoperte all’interno della medesima organizzazione.
L’ Autorità capofila
Il terzo e ultimo parere pubblicato dal Gruppo di Lavoro?art.29?fornisce indicazioni essenziali per l’individuazione dell’Autorità capofila?(“Lead Supervisory Authority”) in caso di trattamento transfrontaliero.
Come ricordato dal Garante italiano, l’Autorità capofila “deve fungere da “sportello unico” per i trattamenti transnazionali (se il titolare o il responsabile tratta dati personali in più stabilimenti nell’Ue o offre prodotti o servizi in più Paesi Ue anche a partire da un solo stabilimento)”.
GDPR: cosa cambia
I principali cambiamenti previsti dalla riforma includono:
- il diritto di?conoscere quando i dati di un individuo sono stati violati. Le aziende e le organizzazioni devono segnalare all’autorità di supervisione nazionale le violazioni dei dati quali sono gli individui in pericolo e comunicare alla persona interessata tutte le violazioni ad alto rischio nel più breve tempo possibile, così che gli utenti possano adottare le adeguate contromisure.
- I miglioramenti nell’applicazione delle regole: le autorità per la protezione dei dati dovranno essere in grado di multare le imprese non conformi alle normative EU. Le sanzioni ammonteranno fino al 4% del fatturato annuo totale.
- Un’unica Legge per la protezione dei dati. Il?GDPR?in Italia?sostituisce?l’attuale Codice della?Privacy?(D.Lgs. 196/2003).
- Le organizzazioni devono segnalare all’autorità nazionale le gravi violazioni di dati il prima possibile (meglio se entro 24 ore).
- L’Applicazione alle aziende situate fuori dall’Unione Europea che operano nel mercato comunitario, offrono servizi e prodotti ai cittadini europei (inclusi i beni e i servizi gratuiti), e infine controllano il comportamento degli individui dell’Unione Europea.
- La protezione dei dati in fase di progettazione?e in modalità predefinita. La garanzia sulla protezione dei dati sarà prevista nei prodotti e nei servizi già dalle prime fasi del loro sviluppo.
Guida illustrativa nuovo Regolamento europeo sulla protezione dei dati
Il Garante per la protezione dei dati personali ha riassunto in una guida illustrativa le innovazioni previste dal nuovo Regolamento Ue per imprese e cittadini.
I vantaggi del nuovo regolamento sono suddivisi in 12 punti chiave:
- Cittadini più garantiti.
- Informazioni più chiare e complete sul trattamento.
- Consenso, strumento di garanzia anche on line.
- Limiti alla possibilità per il titolare di adottare decisioni solo sulla base di un trattamento automatizzato di dati.
- Più tutele e libertà con il diritto all’oblio.
- Portabilità dei dati: liberi di trasferire i propri dati in un mercato digitale più aperto alla concorrenza.
- Garanzie rigorose per il trasferimento dei dati al di fuori dell’Ue.
- Obbligo di comunicare i casi di violazione dei dati personali (data breach).
- Le novità per le imprese e gli enti.
- Un unico insieme di norme per tutti gli Stati dell’Unione europea.
- Approccio basato sulla valutazione del rischio che premia i soggetti più responsabili.
- Semplificazioni per i soggetti che offrono maggiori garanzie e promuovono sistemi di autoregolamentazione.
Le misure da adottare
Il Regolamento obbliga le aziende di qualsiasi dimensione ad adottare un nuovo insieme di processi e politiche volte a dare alle persone un maggiore controllo sui propri dati personali.?Le aziende sono tenute ad adottare idonee misure di sicurezza per?garantire la riservatezza?e l’integrità dei dati personali?coinvolti nelle loro attività statutarie.
Per adeguarsi possono?adottare misure pratiche, come:
- l’utilizzo della crittografia?(nel caso in cui i dati siano esposti a rischio);
Cos’è la crittografia?Nell’immagine seguente un esempio di un sistema di crittografia professionale per la protezione dei dati.
La crittografia è un sistema che permette di proteggere i dati archiviati o trasmessi attraverso portatili. L’azione di crittografia di tutti i documenti, attraverso soluzioni di ultima generazione, si estende anche nei file, nelle directory e nelle email.
- l’utilizzo della?autenticazione a due fattori: sistema di protezione dei dati che può essere usato per migliorare la riservatezza dei dati. Il sistema genera una one-time password univoca, richiesta oltre alla password classica, per verificare l’accesso alla rete.
A tal proposito esistono già sul mercato sistemi integrati con quanto richiesto dalla normativa. Nei prossimi post ti illustrerò quelle con maggiore efficacia.
Il nuovo Regolamento europeo sulla protezione dei dati [Infografica]
Nuovo Regolamento europeo sulla protezione dei dati: le conclusioni
La tutela della Privacy in Europa sta per subire alcune importanti modifiche. Dal 2018 sarà obbligatorio rispettare il Regolamento Generale sulla Protezione dei Dati (GDPR: General Data Protection Regulation), che stabilisce nuovi doveri e responsabilità del titolare del trattamento dati. In questo post ti spiego cosa cambierà e le soluzioni per arrivare preparati alla scadenza.
La presente comunicazione ha lo scopo di tenere informato il cliente sul nuovo Regolamento europeo. Non vuole sostituirsi ai veri esperti in materia. Ci impegneremo a mantenere aggiornata la comunicazione.
Contattaci per maggiori informazioni
Per maggiori informazioni compila il modulo sottostante.