Il General Data Protection Regulation (ovvero: Regolamento Generale sulla Protezione dei Dati), applicato a tutti i tipi di imprese che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione Europea e’ entrato in vigore il 25 maggio 2018.
Il GDPR, Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) sulla cui base poggiano le disposizioni che attualmente vigono nei paesi dell’unione europea tra cui l’Italia.
Questa nuova normativa obbliga le organizzazioni ad assumersi maggiori responsabilità sui dati personali che raccolgono e a compiere ogni sforzo possibile per proteggerli.
Le principali ragioni per cui il regolamento è stato introdotto sono le seguenti:
- Obbligare le aziende a operare in modo più trasparente in merito alla raccolta e all’utilizzo
dei dati; - Migliorare la protezione dei dati e prevenirne la violazione;
- Stabilire controlli potenziati ed avere maggiore reattività per prevenire la perdita dei dati.
All’interno del GDPR sono state stabilite una serie di misure che hanno lo scopo di aumentare la trasparenza nel controllo e la gestione dei dati.
Gli interessati (utenti) saranno chiamati a fornire autorizzazioni più specifiche e dovranno avere la possibilità di revocarle se non sono più d’accordo; potranno richiedere informazioni su come vengono gestiti i dati che hanno conferito, dove e per quale finalità.
Gli interessati potranno richiedere alle aziende le informazioni che usano e che li riguardano e richiedere la cancellazione dai server e dagli archivi dell’azienda stessa.
Le aziende, e quindi i titolari del trattamento (nel GDPR definiti come “Data Controller”), hanno l’obbligo di valutare come gestire la protezione dei dati già nella fase di design di nuovi sistemi (principio di “privacy by design”).
Non solo: le aziende il cui core business prevede il trattamento di un volume importante di dati personali, dovranno provvedere a nominare un responsabile che si occupi della protezione dei dati (DPO).
Queste misure hanno l’intento di ridurre la probabilità di perdita di dati (Data Breach); tuttavia, se ciò dovesse accadere, le aziende avranno l’obbligo di informare entro 72 ore le autorità nazionali competenti e, a seconda dei casi, gli interessati.
La P&B Informatica Srl offre un servizio di consulenza per l’ adeguamento delle aziende alla nuova normativa: dall’individuazione dei trattamenti, all’analisi dei rischi, alla valutazione di impatto e tutto quanto previsto dal GDPR.