Che cos’è la nuova privacy (GDPR)
È stato l’argomento più dibattuto degli ultimi mesi. Ma cos’è esattamente il GDPR o Regolamento Generale sulla Protezione dei Dati?
In vigore dal 25 maggio 2018, Il GDPR offre una maggiore tutela alle persone fisiche e rende le aziende più responsabili nell’uso dei dati personali, rappresentando una svolta importante nella legislazione relativa alla protezione dei dati.
E’ composto da 99 articoli volti a dare maggiore controllo ai cittadini sui loro dati personali e chiarire le responsabilità in caso di violazioni della privacy. Con l’aumentare della diffusione e dell’utilizzo della tecnologia, infatti, ci si è resi conto che era necessario modificare le regole vigenti per tutelare maggiormente la persona.
Grazie a questo nuovo Regolamento, la protezione dei dati assume una posizione di prima linea tra i processi aziendali, con un impatto significativo sulla gestione delle informazioni personali sia dei clienti che dei dipendenti.
GDPR: le novità
Con il GDPR vengono introdotti tre principi fondamentali: il diritto all’oblio (gli utenti possono chiedere di rimuovere informazioni che li riguardano per sempre), la portabilità dei dati (si possono cioè scaricare e trasferire dati da una piattaforma all’altra, senza vincolarsi a un certo account) e l’obbligo di notifica in caso di data breach (se le aziende subiscono fughe di informazioni, devono avvisare gli utenti entro 72 ore).
Il consenso al trattamento dei dati, insomma, deve essere libero, informato ed esplicito e non sarà ammesso in alcun modo quello tacito o presunto.
Altra novità è l’introduzione di una nuova figura professionale: il DPO, cioè il Data Protection Officer (in italiano Responsabile della Protezione dei Dati). Si tratta di una figura indipendente incaricata di assicurare una corretta gestione dei dati personali.
GDPR: Gli obblighi
Tra gli obblighi introdotti a partire dal 25 maggio 2018 si segnala:
- obbligo di tenuta del registro delle attività di trattamento dati per tutte le aziende con più di 250 dipendenti;
- obbligo di tenuta del registro delle attività di trattamento dati per le aziende che hanno meno di 250 dipendenti ma che trattano dati sensibili;
- valutazione d’impatto sulla protezione dei dati personali quando vi sono rischi elevati per i diritti e libertà delle persone fisiche in modo da poter dimostrare l’adeguamento dell’azienda al Regolamento
GDPR: le sanzioni previste
Il mancato adempimento della normativa prevede, come è ovvio, alcune sanzioni.
L’entità economica delle sanzioni dipende dal tipo di violazione: possono arrivare a 10 milioni di euro o al 2% del fatturato annuo (se superiore), o fino a 20 milioni di euro e al 4% del fatturato annuale (se superiore) nei casi più gravi.
Francesco Banchelli – Avvocato, ASI Toscana