cos'è il gdpr?
Il GDPR è il Regolamento Generale sulla Protezione dei Dati 679/2016 e rappresenta il cambiamento più importante nella moderna protezione dei dati personali.
L’obiettivo del GDPR è quello di proteggere i dati personali (di cittadini europei ed extraeuropei) raccolti sul suolo europeo
attraverso qualunque strumento, per affari o per scopi no-profit o amministrativi.
Nel mondo moderno dati-centrico, i dati personali sono gestiti da violazioni della privacy e dei dati.
Sebbene i principi chiave della protezione dei dati siano ancora validi come da direttive precedenti,
sono state proposte molte modifiche alle politiche di regolamentazione;
i punti chiave del GDPR e le informazioni sull’impatto che avrà sul business si possono trovare qui sotto.
IL NUOVO STANDARD
PER LA PROTEZIONE DEI DATI PERSONALI
punti chiave
Probabilmente il più grande cambiamento nel panorama normativo della privacy dei dati deriva dalla giurisdizione estesa del GDPR, in quanto si applica a tutte le società che trattano i dati personali degli interessati residenti nell’Unione, indipendentemente dalla posizione geografica della società. In precedenza, l’applicabilità territoriale della direttiva era ambigua e faceva riferimento al trattamento dei dati “nel contesto di una sede”. Questo argomento è emerso in numerosi casi giudiziari di alto profilo. Il GDPR rende molto chiara la sua applicabilità: riguarda il trattamento di dati personali da parte di responsabili e gestori del trattamento nell’UE, indipendentemente dal fatto che il trattamento avvenga o meno all’interno dell’Unione. Il GDPR si applica anche al trattamento dei dati personali degli interessati nell’UE da parte di un responsabile o incaricato del trattamento non residente nell’Unione, in cui le attività riguardano: l’offerta di beni o servizi ai cittadini dell’UE (indipendentemente dal fatto che venga richiesto un pagamento) e il monitoraggio dei comportamenti che si svolge all’interno dell’UE. Anche le imprese Extra-UE che elaborano i dati dei cittadini dell’Unione devono nominare un rappresentante nell’UE.
Le organizzazioni che violano il GDPR possono essere multate fino al 4% del fatturato globale annuo o € 20 milioni (a seconda di quale sia maggiore). Questa è la sanzione massima che può essere imposta per le infrazioni più gravi, ad es. non avere il consenso sufficiente del cliente per elaborare i dati o violare il nucleo dei concetti di Privacy by Design. Esiste un approccio a più livelli alle ammende, ad es. una società può essere multata del 2% per non avere i propri registri in ordine (articolo 28), per non aver informato l’autorità di controllo e l’interessato in merito a una violazione o non aver condotto una valutazione dell’impatto. È importante notare che queste regole si applicano sia ai controllori che ai gestori, il che significa che i “cloud” non sono esenti dall’applicazione del GDPR.
Le condizioni per il consenso sono state rafforzate e le aziende non sono più in grado di utilizzare termini e condizioni illeggibili piene di legalese. La richiesta di consenso deve essere presentata in forma intelligibile e facilmente accessibile, con lo scopo del trattamento dei dati allegato a tale consenso. Il consenso deve essere chiaro e distinguibile da altre questioni e fornito in una forma intelligibile e facilmente accessibile, usando un linguaggio chiaro e chiaro. Ritirare o negare il consenso deve essere altrettanto facile come darlo.
Ai sensi del GDPR, le notifiche di violazione sono ora obbligatorie in tutti gli stati membri in cui è probabile che una violazione dei dati “comporti un rischio per i diritti e le libertà delle persone”. Ciò deve avvenire entro 72 ore dalla prima presa di coscienza della violazione. I responsabili del trattamento dei dati sono inoltre tenuti a informare i propri clienti, i responsabili del trattamento, “senza indebito ritardo” dopo aver preso coscienza di una violazione dei dati.
Parte dei diritti estesi degli interessati indicati dal GDPR è il diritto degli interessati di ottenere la conferma da parte del responsabile del trattamento in merito al trattamento o meno dei dati personali che li riguardano, dove e per quale scopo. Inoltre, il responsabile del trattamento deve fornire gratuitamente una copia dei dati personali in formato elettronico. Questo cambiamento è un drastico passaggio alla trasparenza dei dati e al rafforzamento dei diritti degli interessati.
Conosciuto anche come cancellazione dei dati, il diritto all’oblio dà diritto all’interessato di chiedere al responsabile del trattamento di cancellare i propri dati personali, cessare l’ulteriore diffusione dei dati e potenzialmente far interrompere l’elaborazione dei dati da parte di terzi. Le condizioni per la cancellazione, come indicato nell’articolo 17, includono i dati che non sono più rilevanti ai fini originali del trattamento o per cui l’interessato revoca il consenso. Va anche evidenziato che questo diritto richiede ai responsabili del trattamento di confrontare i diritti dei soggetti a “l’interesse pubblico nella disponibilità dei dati” quando si considerano tali richieste.
Il GDPR introduce la portabilità dei dati – il diritto per l’interessato di ricevere i dati personali che lo riguardano – che in precedenza ha fornito in un “formato comunemente leggibile e utilizzabile automaticamente” e il diritto di trasmettere tali dati a un altro controllore.
Privacy by design è un concetto che esiste da anni, ma solo ora sta diventando parte di un requisito legale con il GDPR. Fondamentalmente, la privacy by design richiede l’inclusione della protezione dei dati sin dall’inizio della progettazione dei sistemi, piuttosto che come aggiunta successiva. Più specificamente, “Il responsabile del trattamento deve … attuare misure tecniche e organizzative adeguate … in modo efficace … al fine di soddisfare i requisiti del presente regolamento e proteggere i diritti degli interessati”. L’articolo 23 prevede che i responsabili del trattamento conservino e trattino solo i dati assolutamente necessari per l’espletamento delle sue funzioni (minimizzazione dei dati), oltre a limitare l’accesso ai dati personali a coloro che devono eseguire il trattamento.
Ai sensi del GDPR non è necessario inviare notifiche / registrazioni a ciascun DPA locale delle attività di elaborazione dei dati, né è obbligatorio notificare / ottenere l’approvazione per i trasferimenti basati sulle clausole del contratto tipo (MCC). Esistono invece requisiti interni di conservazione dei dati, come ulteriormente spiegato di seguito, e la nomina di un responsabile della protezione dei dati è obbligatoria solo per quei responsabili e gestori del trattamento le cui attività principali consistono in operazioni di elaborazione che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala o di categorie speciali di dati o dati relativi a condanne penali e reati. È importante sottolineare che il responsabile della protezione dei dati:
- Deve essere nominato sulla base di qualità professionali e, in particolare, di conoscenze specialistiche in materia di legge e prassi sulla protezione dei dati
- Può essere un membro del personale o un fornitore di servizi esterno
- I dettagli di contatto devono essere forniti al DPA competente
- Devono essere fornite risorse adeguate per svolgere i loro compiti e mantenere le loro conoscenze specialistiche
- Deve riferire direttamente al massimo livello di gestione
- Non deve svolgere altre attività che potrebbero provocare un conflitto di interessi.