Entrata in vigore della legge sul GDPR

2018/05/01 22:19:47

Ultima scadenza, maggio 2018.

Che cosa è il GDPR?

Il GDPR (ovvero General Data Protection Regulation – UE 2016/679) è un regolamento generale sulla protezione dei dati che è stato emanato dalla Commissione europea il giorno 4 maggio 2016. Si tratta di un insieme di regole istituito per rafforzare e rendere unica la protezione dei dati personali all’interno dei confini dell’Unione Europea (UE) e non solo.
Nel regolamento infatti, si affronta anche il delicato argomento dell’esportazione di dati personali al di fuori dei confini dell’UE. La Commissione europea, con l’emissione del GDPR, si è data come obiettivo principale, quello di rimettere nelle mani dei cittadini, il controllo dei propri dati personali e rendere più semplici le norme che riguardano gli affari internazionali, unificando i regolamenti dentro i confini UE.

Cosa cambia per le aziende?

Il GDPR sarà pienamente applicabile su tutto il territorio dell’ Unione Europea. Questo significa che se la vostra azienda raccoglie e tratta informazioni personali di cittadini italiani, ma soprattutto europei, questi potranno esercitare nei vostri confronti i propri diritti a cominciare da maggio 2018 e se non avrete già procedure e software conforme a tali disposizioni, la vostra azienda può rischiare sanzioni importanti. Per le aziende significa quindi avere già in essere procedure e strumenti che permettano di rispettare i diritti dei cittadini italiani ed europei ed evitare costosissime sanzioni in caso di inadempienza. Rispetto ad oggi infatti, dove la tutela si limitava quasi esclusivamente ad una indicazione “formale” dei diritti dell’interessato, l’Unione Europea cambia direzione e impone che le aziende si adoperino dotandosi di precisi ruoli, responsabili e responsabilità in fatto di prevenzione dei rischi legati al trattamento del dato.

Quali diritti potranno esercitare i cittadini?

Riportiamo alcuni esempi di cosa potranno chiedere i cittadini europei alle aziende. Uno dei concetti introdotti è il “diritto all’oblio” (articolo 17), che si traduce nella pratica nel diritto a richiedere ed ottenere la cancellazione di tutti i propri dati personali, nel caso in cui venga per esempio ritirato il consenso o nel caso in cui i dati non siano più necessari per le finalità per le quali raccolta e trattamento sono stati realizzati. Ma ci sono altri diritti (l’elenco completo dei diritti esercitabili dai cittadini europei lo trovate sul sito del Garante della Privacy italiano qui) che l’interessato può esercitare e che le aziende devono essere pronte a gestire, come ad esempio la “portabilità” ovvero il trasferimento ad altra azienda, i “registri delle attività di trattamento”, ed altre novità che dovranno essere gestite. Inoltre cambia il paradigma per cui, si passa da una gestione ex-post ad una ex-ante, ovvero da un’approccio passivo ad uno attivo nella tutela dei dati personali.

Quali sono le responsabilità per le aziende?

Il regolamento UE 2016/679 emanato a maggio 2016 che entrerà in vigore a maggio 2018, prevede un quadro normativo completamente rovesciato rispetto al passato. Il legislatore europeo ha infatti concentrato la normativa sui doveri e sulle responsabilità che il titolare del trattamento dei dati deve avere (“accountability”). Il testo del GDPR dunque si sviluppa interessando i processi, le attività, le misure tecniche e organizzative che il titolare del trattamento dovrà adottare in azienda per rispettare i diritti degli interessati. Questo è in netta contrapposizione su quanto precedentemente deliberato con la legge 96/46, durata 20 anni, dove il legislatore si concentrava esclusivamente sui diritti dell’interessato. Nel testo sono anche presenti nuove figure organizzative quali il “Data Protection Officer” (DPO).

Perchè conviene muoversi per tempo?

I motivi sono semplici, evitare corse dell’ultimo minuto, evitare scelte frettolose, evitare le sanzioni derivanti dagli inadempimenti (fino al 4% del vostro fatturato) alla norma introducendo in modo graduale modifiche ed investimenti in azienda, usufruire degli incentivi messi a disposizione dal governo italiano con Industria 4.0. Le modifiche introdotte dalla nuova legge GDPR infatti, comporteranno per tutti un adeguamento strutturale e tecnologico che potrebbe non essere semplice o rapido da applicare. Di fatto, alcune delle novità presenti nel Regolamento richiedono tecnologie e procedure che al momento potrebbero non essere presenti in azienda. Inoltre, sappiamo per esperienza che l’introduzione di novità strutturali all’interno delle stesse, incontrano resistenze non sempre facili da superare nel breve periodo.

Possiamo aiutarvi.

Attualmente il Garante della Privacy italiano non ha ancora legiferato in materia GDPR ed Accredia non ha di conseguenza indicato ancora chi saranno i soggetti autorizzati al rilascio della conformità in materia di GDPR, come comunicato nel documento datato 18 luglio 2017. Edp4you propone un percorso di avvicinamento alle nuove regole introdotte dal GDPR europeo proprio per evitare di dover correre ai ripari all’ultimo momento. Il nostro modello si adatta sia alla PMI che alla grande industria.

La nostra attività prevede di accompagnarvi prendendoci carico degli aspetti tecnologici, legali ed amministrativi per l’adempimento agli obblighi contenuti del nuovo Regolamento e pur non potendo rilasciare un certificato di conformità, verrà rilasciata al cliente tutta la documentazione necessaria da presentare durante le fasi di certificazione eseguita da Ente Certificato e non compresa con nella nostra attività.

L’attività si svolgerà in tre fasi:

  • Valutazione preliminare, effettuata con un’intervista effettuata dal nostro staff tecnico al cliente (senza costi)
  • Audit dettagliato della vostra infratruttura con disegno dell’architettura finale

Il documento di Audit comprende:

  • Attuale configurazione dell’infrastruttura
  • Disegno dell’architettura finale
  • Piano implementativo delle soluzioni proposte

La Valutazione Preliminare vi permette di scoprire quali sono le aree di processo sulle quali si rende necessario un intervento.

La GUIDA del garante della privacy in Italia per l’adeguamento al nuovo regolamento GDPR la trovate CLICCANDO QUI.

Il REGOLAMENTO è disponibile in italiano CLICCANDO QUI su un sito dove potete trovare molti documenti prodotti dalla Commissione Europea.

Il regolamento è disponibile in inglese CLICCANDO QUI sul sito che fino al 2016 veniva gestito dalla Commissione Europea e che ora è un archivio di documenti.