Via Gatti 3/28 -41043 Formigine (MO)
059 5961136

Il GDPR CAMBIERÀ LE CARTE IN TAVOLA

Stiamo per affrontare un grande cambiamento nel mondo della sicurezza informatica in Europa.

Il 14 aprile del 2016 è stato infatti approvato il nuovo regolamento europeo (GDPR- General Data Protection Regulation) per la protezione dei dati personali, che prevede una revisione sostanziosa delle metodologie usate fino ad oggi nel settore.

Il tema cybersecurity è sempre più rilevante al giorno d’oggi perché le minacce informatiche sono cresciute esponenzialmente, ma non bisogna pensare che siano regole completamente nuove: in realtà da anni esistono norme severe non dissimili, che però non sempre vengono applicate.

Questa condizione “anarchica” dovrà cessare di esistere entro il 25 maggio 2018, data ultima concessa alle aziende ed agli enti per mettere a norma i loro sistemi, pena sanzioni salatissime, fino al 4% del reddito annuo di un’azienda. Senza considerare che, per determinate violazioni, si entra in ambito penale.

Le intenzioni sono lodevoli poiché i pericoli a cui siamo esposti si sono intensificati e la protezione dei dati è diventato un tema che, da importante, è diventato fondamentale.

Una delle prerogative della nuova normativa è data dal fatto che, se prima era richiesto solo un adeguamento alle regole nazionali generali, ora è richiesto alle varie aziende di valutare il settore di appartenenza, che tipo di minacce possono colpirle e che danni possono fare, infine di dotarsi di misure adeguate al contrasto.

Per fare un esempio: un’azienda che produce alimentari sarà soggetta a regolamentazioni meno rigide rispetto ad una banca, che ha a che fare con i dati più delicati dei suoi clienti. Lo stesso concetto vale anche per le sanzioni, che verranno determinate in base al tipo di azienda e alla trasgressione.

Il regolamento è stato pubblicato interamente sulla Gazzetta Ufficiale Europea il 4 maggio 2016, e una cosa è sicura: le aziende dovranno muoversi velocemente per mettersi a norma, perché non è semplice interpretare correttamente legislazioni così complicate e adattarle alle proprie esigenze.

È necessario il supporto e la consulenza di esperti nel settore legale ed informatico per adeguarsi alla normativa e non venire penalizzato.gdpr

Quali sono le maggiori novità?

  • Vengono definiti limiti chiari al trattamento automatizzato dei dati personali, regole riguardo al consenso informato e criteri più rigidi riguardanti il trasferimento dei dati al di fuori dell’Unione Europea e per le violazioni dei dati (data breach).
  • Le informative interne devono essere trasparenti, chiare. L’utente che visita un sito deve comprendere facilmente i contenuti dell’informativa, il trattamento dei suoi dati personali e l’esercizio dei diritti.
  • L’utente deve sapere se i suoi dati vengono trasferiti al di fuori dell’Ue e le garanzie che ha.
  • Dovrà anche essere descritto chiaramente il diritto a revocare determinati trattamenti
  • Il consenso al trattamento dei dati dovrà esser chiaro, preventivo e inequivocabile (cosa che era già prevista); dovrà essere anche “esplicito”, non potrà essere tacito. Inoltre, potrà essere revocato in ogni momento.
  • Per il trattamento dei dati dei minori di 16 anni, Le pagine web e i social media dovranno richiedere il consenso ai genitori.
  • Quando si parla di decisioni con risvolti giuridici non ci si potrà limitare al trattamento automatizzato dei dati a meno che il soggetto interessato non abbia dato il consenso esplicito ad esso o non avvenga in base a determinati obblighi legislativi.
  • Se ci si trova in ambito di marketing, il recesso del consenso è sempre consentito.
  • Il “diritto all’oblio” introdotto prevede che gli utenti abbiano il diritto alla cancellazione dei loro dati personali anche on line secondo determinate condizioni previste nel Regolamento. Il titolare del trattamento dovrà anche impegnarsi a comunicare la richiesta di cancellazione a tutti quei soggetti che utilizzano i determinati dati. Questo diritto all’oblio è però limitato a specifici casi, come per esempio ai casi in cui bisogna garantire la libertà d’espressione o il diritto di difesa in ambito giudiziario, per un interesse generale (come la sanità, la ricerca storica o scientifica).
  • Il diritto alla “portabilità” dei dati personali, che permette il trasferimento da un titolare ad un altro (anche questa è però limitata a certi casi).
  • Viene approfondito il discorso riguardante il trasferimento di dati personali in paesi al di fuori dell’Unione Europea, vietato in determinati e specifici casi.
  • In caso di violazione di dati il titolare del trattamento dovrà comunicarlo immediatamente all’Autorità nazionale di protezione dati e agli interessati, offrendo anche supporto e indicazioni sul come fare a tutelarsi. Sono chiariti anche i casi in cui non è obbligatorio farlo.
  • Il Regolamento non è sottoposto a normative nazionali ed è direttamente applicabile a tutti gli stati membri. Si applica inoltre anche alle imprese al di fuori dell’Ue che offrono servizi o prodotti a persone all’interno dell’Ue.

 

Abbiamo voluto sintetizzare la materia perché la normativa è chiaramente estremamente complessa per essere affrontata in una sola occasione. Per questo consigliamo a tutti di non perdere tempo, il tempo a disposizione non è molto ma è ancora sufficiente ad adeguarsi.

[waiting name=”GDPR”]

Per avere più informazione sulla nuova normativa vigente e su come si rifletterà sulla tua azienda contatta Tekapp.

Leave a comment