Il GDPR (General Data Protection Regulation) è il Nuovo Regolamento Generale sulla Protezione dei Dati (meglio noto come GDPR o Regolamento UE 2016/679), emanato dalla UE ed entrato in vigore il 24 maggio 2016. E’ in fase di approvazione lo schema del decreto legislativo che armonizza la normativa nazionale con il regolamento comunitario e contestualmente abroga il decreto legislativo relativo ai dati personali e alla privacy del 30 giugno 2003 n. 196. Le sanzioni se non ci si mette in regola con quanto riportato nel regolamento, saranno applicabili a partire dal 25 maggio 2018
Normativa GDPR, cosa cambia?
La principale novità introdotta dal Regolamento consiste nel rafforzamento del principio di responsabilizzazione dei titolari e responsabili del trattamento dei dati personali. I soggetti responsabili dovranno assumere un atteggiamento proattivo nel dimostrare l’adozione di idonee misure tecnico-organizzative per la corretta applicazione del Regolamento sulla raccolta e il trattamento dei dati personali. Viene introdotto un approccio risk-based nella valutazione dei trattamenti di dati personali che possono comportare un rischio elevato per “i diritti e le libertà delle persone interessate”.
GDPR per le aziende, cosa cambia in Italia per le imprese e le attività online
Tra le misure introdotte o confermate per aziende e pubbliche amministrazioni vanno evidenziati:
- L’indicazione ad avere un “Registro dei trattamenti”
- La nomina di un “Responsabile per la protezione dei dati”
- L’indicazione ad avere un registro delle DPIA e cioè delle valutazioni di impatto sulla protezione dei dati (una vera e propria analisi dei rischi in ambito privacy).
Il Regolamento e le successive pronunciazioni del Garante italiano hanno delineato quando e in quali contesti tali misure sono da considerarsi obbligatorie ribadendo, ancora una volta, come la responsabilità ultima ricada su titolari e responsabili dei trattamenti.
Le buone prassi di una governance attenta dei propri processi consigliano, comunque, quantomeno la tenuta del registro dei trattamenti che è la base su cui poi costruire tutte le attività di protezione dei dati personali in azienda. Tale governance può essere, poi, rafforzata con un’attenta integrazione con un eventuale Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) anche certificato a norma ISO27001.
GDPR per le aziende, quali sono i rischi e le sanzioni in caso di negligenza o violazione
Il titolare del trattamento dei dati personali è tenuto al risarcimento in caso di violazione del Regolamento così come il responsabile che risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del regolamento o ha violato le legittime istruzioni del titolare. L’onere della prova è a carico di titolare e responsabile, così come l’onere di valutare la necessità e le eventuali modalità di comunicazione agli interessati dell’avvenuta violazione dei propri dati personali trattati. In termini di sanzioni, queste si attestano su un limite che è pari a 20.000.000€ o il 4% del fatturato mondiale annuo per l’esercizio precedente oltre alla limitazione, o blocco, del trattamento.
GDPR, rivolgersi a professionisti qualificati: il servizio di consulenza di Consulthink
Consulthink lavora accanto ai propri clienti, aziende private e pubbliche amministrazioni, offrendo i propri servizi di consulenza, forte di una profonda conoscenza del Regolamento e del dominio di business sul quale contestualizzarlo.
Redatto da Lucia D’Adamo, in collaborazione con Daniele Paiella, supervisionato da Marco Pirrone