IL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (GDPR)

CHE COS’È IL GDPR?

Il Parlamento Europeo ha approvato il Regolamento Generale sulla Protezione dei Dati (GDPR) n. 679/2016 entrato in vigore il 25 maggio 2018. La disciplina si è resa necessaria a seguito di un uso improprio che alcune aziende hanno posto in essere in danno ai loro clienti e/o dipendenti.

Il GDPR rappresenta la novità normativa più rilevante di questo secolo in tema di protezione dei dati personali, in quanto offre una significativa tutela dei dati ed impone alle aziende maggiore responsabilità nell’uso dei dati personali, pena l’adozione di severe sanzioni civili e penali.

Con tale Regolamento, la protezione dei dati assume un ruolo di primaria importanza nei processi aziendali, con un impatto significativo sul trattamento delle informazioni personali relative ai dipendenti e ai clienti.

A CHI SI APPLICA IL GDPR?

Il nuovo Regolamento rafforza il livello di tutela dei dati per tutte le persone fisiche all’interno del UE.

Il GDPR, agli articoli 2 e 3, fissa i criteri di applicazione materiale e territoriale della normativa, ponendo un chiaro riferimento volto a specificare chi e cosa rientri sotto il suo regime. I trattamenti di dati soggetti alla nuova disciplina, in continuità con il passato, riguardano sia processi automatizzati che semi-automatizzati ed anche quelli tradizionali (cartacei), e dunque totalmente privi di automatismo.

Quindi, ogni trattamento dei dati eseguito per l’offerta di beni o la prestazione di servizi a interessati che si trovano nell’Unione Europea è soggetto al GDPR.

Risultano esentati i trattamenti che rientrano in attività di esclusiva competenza degli Stati membri quali la sicurezza nazionale, la politica estera e di difesa comune dell’UE. Fuori dal raggio d’azione del GDPR risiedono anche i trattamenti in ambito penale e per finalità di indagine da parte delle autorità competenti.

In definitiva, qualsiasi dato che un’azienda tratti sia in forma telematica o cartacea è soggetto al GDPR.

È la stessa natura della normativa ad indicare la direzione intrapresa dal legislatore comunitario in tal senso: non più una direttiva – lasciando agli Stati membri il compito di tradurre in leggi nazionali i nuovi principi – ma un regolamento, applicabile direttamente su tutto il territorio dell’UE. Non una mera scelta di stile ma un chiaro segnale da parte dell’Unione: il processo di parificazione degli standard di protezione dei dati è efficace se questo corre attraverso un tracciato comune per tutti gli Stati membri e i cittadini comunitari.

Il GDPR ha ribaltato la filosofia corrente: ora sarà chi tratta i dati a dover dimostrare in maniera concreta e incontrovertibile di averli ottenuti dagli utenti in maniera volontaria e di aver fatto tutto il possibile per proteggerli, in ogni maniera, da perdite casuali o attacchi hacker. Per questo, a livello informatico, chi vorrà essere compliance al GDPR dovrà dimostrare di aver messo in atto tutte le protezioni possibili. In altre parole, l’onere della prova è invertito.

NOVITÀ ESSENZIALI INTRODOTTE DAL GDPR

I punti essenziali del Regolamento GDPR sono i seguenti:

  • Informativa: informazioni più chiare e complete sul trattamento
  • Consenso: strumento di garanzia anche on line
  • Profilazione: limiti alla possibilità per il titolare del trattamento di adottare decisioni solo sulla base di un trattamento automatizzato di dati
  • Oblio: più tutele con il diritto all‘essere dimenticato
  • Portabilità dei dati: liberi di trasferire i propri dati in un mercato digitale più aperto alla concorrenza
  • Trasferimento extra UE: garanzie rigorose per il trasferimento dei dati al di fuori dell’Unione Europea
  • Data Breach: obbligo di comunicare i casi di violazione dei dati personali
  • One stop Shop: un unico insieme di norme per tutti gli Stati dell’Unione europea
  • Accountability e Risk Management: approccio basato sul principio della responsabilità e sulla valutazione del rischio che premia i soggetti più responsabili
  • Codici di condotta e Certificazioni: semplificazioni per i soggetti che offrono maggiori garanzie e promuovono sistemi di autoregolamentazione
  • DPO: introduzione della figura del Data Protection Officer (RPD – Responsabile Protezione dei Dati)

IL VANTAGGIO COMPETITIVO DELL’ ADEGUAMENTO AL GDPR

Come è ormai noto, “il nuovo petrolio” delle aziende sono i dati e, spesso, non vi sono procedure aziendali che permettono di custodirli in maniera efficace.

Le informazioni personali sono una delle risorse più preziose delle organizzazioni: una gestione oculata di questi dati, che garantisca a clienti e partner di sapere con certezza e trasparenza cosa si sta facendo con le loro informazioni e, laddove richiesto, che è stato ottenuto il loro consenso per utilizzarli, li porterà ad avere, o rafforzare, la fiducia nell’azienda ed a preferirla rispetto ad altre che non riescono ad assicurare la stessa efficacia.

Con il GDPR l’azienda ha la possibilità di trasformare un obbligo di legge in un vantaggio competitivo. Cogliere l’opportunità di adottare misure tecniche ed organizzative che, oltre a garantire il rispetto della normativa e ridurre il rischio di pesanti sanzioni, accrescano il livello di sicurezza e la continuità operativa, significa trarre enormi vantaggi sotto il profilo della credibilità e dell’immagine aziendali.

LA NOSTRA CONSULENZA PER L’ ADEGUAMENTO AL GDPR

Formagroup è in grado di fornire soluzioni su misura per soddisfare ogni esigenza di “Protezione dei Dati Personali”, tenendo conto della specifica propensione al rischio, della strategia aziendale, presente e futura, della tipologia dei dati trattati e delle relative misure di sicurezza adottate.

FASI DI INTERVENTO

Le fasi di intervento del nostro servizio:

1. Check up per verificare i trattamenti dei dati gestiti e soggetti alla normativa privacy.
2. Redazione e consegna del Sistema di gestione DATA PROTECTION che contiene le procedure e i documenti necessari agli adempimenti da mettere in atto a seguito delle nuove prescrizioni normative.
3. Formazione di base del personale e del Responsabile Aziendale del Trattamento per gestire il sistema.

PREZZO

Metti la tua azienda in regola con il Nuovo Regolamento Europeo Privacy – GDPR 2018:

Per studi professionali: a partire da 500 €
Per aziende mono sede fino a 15 dipendenti: a partire da 700 €
Per aziende multisito oltre 15 dipendenti e/o per aziende che trattano dati personali in forma massiva: preventivo su richiesta

SANZIONI

Sono previste sanzioni sia amministrative che penali: le sanzioni amministrative possono arrivare fino al 4 per cento del fatturato globale o a 20 milioni di euro; i più a rischio sono i titolari e i responsabili del trattamento dati, i Data Protection Officer.
Le sanzioni penali variano da 6 mesi a 18 mesi di reclusione e si può arrivare, ricorrendo alcune condizioni specifiche, persino ai 3 anni di reclusione. A questo si possono aggiungere, poi, eventuali pene dai 6 mesi ai 3 anni di reclusione per falsa dichiarazione al Garante privacy.