Blog

gdpr.png

La corsa al GDPR: e tu sei pronto?

Tutta l’Europa parla di GDPR. Di cosa si tratta?

Il GDPR (General Data Protection Regulation) indica il regolamento generale sulla protezione dei dati. Esso è entrato in vigore nell’aprile del 2016, dopo ben quattro lunghi anni di dibattiti e trattative. Tale regolamento deve essere attuato necessariamente tra 18 mesi, quindi entro il 25 maggio del 2018. Il GDPR deve essere necessariamente adottato e rispettato in ogni suo punto da tutte le aziende che hanno sede in UE; pena, il pagamento di pesanti sanzioni e il possibile avvio di procedimenti penali. E’ iniziata, quindi, una vera e propria corsa contro il tempo, da parte di tutti. Perché è così difficile adattarsi? Sappiate che questo processo risulta particolarmente ostico ed insidioso dal momento che esso amplia molto l’ambito delle responsabilità rispetto alla direttiva sulla protezione dei dati del 1995 (Direttiva 95/46/CE), precedentemente in vigore. Ma quali le differenze, tra il vecchio regolamento e il nuovo?

All’interno della normativa risalente al 1995, veniva data una definizione di dato personale (che, in seguito, vedremo) e prevedeva una protezione delle sole persone fisiche, liceità del trattamento, obbligo di informativa e consenso ed adozione di misure tecniche ed organizzative adeguate. Nella nuova versione del GDPR, si adottano, invece, nuove misure tecniche di sicurezza: vi è l’obbligo di notifica e comunicazione in caso di data breach, privacy by default e by design e, soprattutto, diritto all’oblio. L’Europa è, quindi, in fermento: tutto questo, per una causa nobile quanto giusta.

 

Cosa sono e perché sono così importanti i dati personali?

Per proteggerli al meglio, dobbiamo, anzitutto, chiederci cosa sono i dati personali. Per dato personale si indica qualsiasi informazione che può essere utilizzata per identificare una persona: può trattarsi di un nome, della data di nascita, di una foto, di un indirizzo e-mail o peggio delle coordinate bancarie o del numero di carta di identità.

I dati personali si raccolgono in tre grandi macro-categorie: particolarmente importanti sono, infatti, i dati identificativi, i dati sensibili e i dati giudiziari.

Per dati identificativi, si intende tutta quella mole di dati che permette l’identificazione diretta della persona, come ad esempio il nome, il cognome o una semplice foto.

Ancora, per dati sensibili, invece, si intendono tutte quelle informazioni che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, l’adesione a partiti politici, sindacati ed associazioni.

 

Infine, esistono i dati giudiziari, che sono quelli in grado di rivelare l’esistenza di determinati provvedimenti giudiziari in atto o passati, la liberazione condizionale, il divieto od obbligo di soggiorno e altre misure alternative di detenzione.

Capirete bene che, comunque, il GDPR non interessa solo ed esclusivamente aziende di matrice informatica (con elementi come cloud storage, archivi elettronici, data center, ecc…), ma anche altri tipi di attività, come quelle mediche e giuridiche.

 

Come si presenta la situazione delle aziende?

Con l’avvicinarsi della sua entrata in vigore, tra le aziende cresce la convinzione che il GDPR non sarà di facile gestione. Esso porrà infatti delle sfide non indifferenti, perché si applicherà, appunto, in tutte le aziende, di tutte le dimensioni e di tutti i comparti economici.

Cosa spinge le aziende ad essere puntuali nell’adesione al nuovo regolamento?

Sicuramente al fatto che si rischiano multe fino a 20 milioni di euro o ad una cifra pari al 4% del fatturato globale dell’azienda. Un’ulteriore spinta verso la compliance.

Rispettare il GDPR, purtroppo, non sarà una passeggiata dal momento che le aziende confermano di avere molti dubbi, soprattutto sugli aspetti che riguardano il trattamento dei dati personali. In Italia, la situazione è ben più critica: secondo l’osservatorio Security & Privacy (promosso dal Politecnico di Milano), quasi la metà delle attività italiane non conosce in maniera completa il GDPR o, addirittura, non ne ha nemmeno sentito parlare.

A loro discolpa, però si può dire che è veramente arduo il compito che questo nuovo regolamento assegna: le aziende dovranno, infatti, tenere traccia di tutte le istanze dei dati già esistenti, ottenere il consenso degli interessati per l’utilizzo dei propri dati e informarsi sulle misure in atto per gestire il processo.

Nel prossimo articolo, parleremo di come è cambiato il GDPR e quali sono le novità che esso comporta.

 

Metha Group vuole aiutarti ad essere a norma. Contattaci per una consulenza gratuita e ti risponderemo entro 24 ore.



Pubblicato da Nicoletta Macallé in data 04/07/2017