2016/679, il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679) è un Regolamento con il quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali all’interno dei confini dell’Unione europea (UE). Il Regolamento è alla “base” di un edificio normativo in cui sono ancora in fase di costruzione o di progettazione quei “piani superiori”, che risultano fondamentali per le imprese per avere indicazioni certe su come porsi al riparo da sanzioni ed applicare il regolamento nella forma più giusta e sostenibile per le loro società. L’adeguamento al GDPR risulta essere complesso stante la stessa complessità del regolamento e l’incertezza di applicazione.
OBIETTIVO:
L’obiettivo del regolamento 2016/679 è quello di standardizzare le normative in materia di protezione dei dati in tutta l’UE, con un unico insieme di regole in tutti gli Stati membri dell’UE su come le aziende raccolgono, utilizzano e condividono dati provenienti dai cittadini.
L’obiettivo finale è quello di fornire una maggiore privacy e protezione dei dati per i cittadini dell’UE.
A CHI E’ RIVOLTO:
per fare chiarezza, i regolamenti si applicano alle società con sede e con uffici situati nell’Unione Europea. Ciò include anche le società che raccolgono dati sui residenti dell’UE e quelli che elaborano i dati per conto di tali società (come i CSP). Tuttavia si applica anche alle società che raccolgono o elaborano dati sui cittadini dell’UE, anche se non sono fisicamente ubicati nell’UE.
L’UE definisce i dati personali come “qualsiasi informazione relativa a un individuo, sia per quanto riguarda la sua vita privata, professionale o pubblica: può essere un nome, un indirizzo di casa, una foto, un indirizzo di posta elettronica, post sui siti web di social networking, informazioni mediche o indirizzo IP del computer “.
QUALI SONO I SETTORI CHE DEVONO CONFORMARSI:
Ci sono diversi settori della compliance che devono adeguarsi al nuovo regolamento.
Per quanto riguarda la raccolta dei dati, le aziende dovranno esaminare con chiarezza le politiche e le notifiche sulla privacy, poiché il nuovo regolamento 2016/679 stabilisce alcuni standard circa il consenso per la raccolta dei dati e per i diritti individuali.
Il GDPR mette inoltre in atto misure di responsabilità, incluse le esigenze per le valutazioni dell’impatto sulla privacy, la privacy by designed e by default , i requisiti per il trasferimento dei dati e nuove norme che richiedono la segnalazione della violazione entro 72 ore.
Infine, alcune aziende dovranno anche nominare un responsabile per la protezione dei dati (DPO) , una nuova posizione per monitorare la conformità del GDPR che le imprese dovranno nominare se sono 1) le autorità pubbliche; 2) se trattano i dati come componente fondamentale del loro business o se trattano i dati su larga scala; 3) se elaborano dati di natura riservata.
A QUALI SANZIONI SI VA INCONTRO
Le sanzioni sono pesanti se le aziende non si adegueranno al regolamento. Possono variare da un avviso scritto a sanzioni finanziarie fino al 2 per cento o al 4 per cento dei ricavi annuali di una società (fino ad un massimo di 20 milioni). Le sanzioni sono ripetute sulla base di quali misure le aziende non sono riuscite a soddisfare.
QUALI SONO LE SCADENZE
Il GDPR è stato approvato nell’aprile del 2016 e ufficialmente è entrata in vigore in quella data. Tuttavia, alle imprese è stato concesso un periodo transitorio di due anni per conformarsi, che entrerà in vigore a partire dal 25 maggio 2018.
I luoghi comuni da sfatare
Il regolamento 2016/679 detto GDPR è la legge sulla privacy:
No. La privacy è protetta dall’articolo 8 della Convenzione europea sui diritti umani. Il GDPR tutela il diritto al trattamento dei dati personali che deve essere eseguito anche – ma non solo – nel rispetto della privacy.
Il GDPR si applica anche alle persone giuridiche
No. Lo dice il titolo stesso del GDPR:
“REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons ”.
Può esserci, semmai, da affrontare il tema dei dati aziendali dei dipendenti (ruolo, ufficio di appartenenza, informazioni di contatto ecc.) che vengono scambiati nell’ambito delle normali attività lavorative.
Il GDPR si applica a tutti i trattamenti di dati personali :
No. Vale solo per i trattamenti eseguiti con sistemi di archiviazione o destinati ad esserlo.
I dati degli interessati possono essere trattati solo con il loro consenso:
Il consenso è solo uno dei modi con i quali si può ottenere la titolarità del trattamento. L’adempimento a norme di legge, un accordo contrattuale o un legitimate interest del titolare sono casi nei quali si può procedere al trattamento senza il consenso dell’interessato.
Il data-breach deve essere sempre comunicato all’Autorità nazionale di protezione dei dati:
Il regolamento stabilisce con chiarezza che:
“Non appena il controller viene a conoscenza che si è verificata una violazione dei dati personali, deve notificare la violazione dei dati personali alle autorità di vigilanza …, a meno che il controller non è in grado di dimostrare , …, che la violazione dei dati personali è improbabile che si traduca in un rischio per i diritti e le libertà delle persone fisiche“.
“Certificazioni” DPO e “Privacy Officer”:
“La normativa attuale non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali. Tali attestati, rilasciati anche all’esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza della disciplina ma, tuttavia, non equivalgono a una “abilitazione” allo svolgimento del ruolo del RPD. La normativa attuale, tra l’altro, non prevede l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Enti pubblici e società private dovranno quindi comunque procedere alla selezione del RPD, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti assegnati”. (Fonte: Avv. Andrea Lisi)
Il GDPR si applica alle attività dell’Autorità giudiziaria penale:
No. Il regolamento lo esclude espressamente:
“La protezione delle persone fisiche per quanto riguarda il trattamento dei dati personali da parte delle autorità competenti ai fini della prevenzione, dell’indagine, dell’individuazione o del perseguimento di reati penali o dell’esecuzione di sanzioni penali, ivi compresa la tutela e la prevenzione delle minacce per il pubblico la sicurezza e la libera circolazione di tali dati, è oggetto di un atto giuridico specifico dell’Unione. Il presente regolamento non dovrebbe pertanto essere applicato alle attività di trasformazione a tal fine “ .
Il regolamento 2016/679, GDPR si applica, oltre che alle indagini, anche ai processi civili, penali e amministrativi:
Il regolamento stabilisce che:
“La competenza delle autorità di vigilanza non dovrebbe riguardare il trattamento dei dati personali quando i tribunali agiscono in qualità giudiziaria, al fine di salvaguardare l’indipendenza della magistratura nell’esercizio delle sue funzioni giudiziarie, compresa la decisione” .
Il termine per adeguarsi al regolamento 2016/679 scade il 25 maggio 2018:
Si e no. Formalmente, la data entro la quale completare il processo di adeguamento normativo è effettivamente il 25 maggio 2018, ma se il Parlamento non approverà la delega al Governo per l’emanazione dei “provvedimenti satellite” che completano il quadro normativo (per esempio, in relazione alle esenzioni per le imprese al di sotto dei 250 dipendenti) l’efficacia del GDPR sarà più limitata.
Il rispetto delle nuove normative può essere costoso in termini sia di tempo che di risorse.
Alcune piccole imprese con solo pochi clienti nell’UE possono decidere che l’adesione al regolamento non ne valga la spesa e desistere rinunciando a questi clienti.
Altri possono scegliere di superare i requisiti del GDPR dopo aver concluso che la sicurezza dei dati è un fattore importante per la loro brand identity.
La maggior parte probabilmente deciderà di soddisfare i requisiti minimi per avere le cose in ordine entro maggio prossimo.
Qualunque sia l’opzione scelta, scomporre il progetto in più fasi creando una scaletta sistematica da seguire contribuirà a rendere la conformità del GDPR un processo sopportabile.
qui viene riportato l’articolo originale
Inoltre, per chiarire l’obiettivo del nuovo regolamento 2016/679 è quello di migliorare le protezioni dei dati dei consumatori, per non generare ricavi da ammende.