GDPR, countdown per le novità sulla privacy: cosa fare per adeguarsi | Ingegneri.info

GDPR, countdown per le novità sulla privacy: cosa fare per adeguarsi

Come adeguarsi al nuovo regolamento in tempi brevi senza incorrere nel rischio di sanzioni. In poche parole

GDPR generica
image_pdf

È partito il countdown per l’entrata in vigore del GDPR. Parliamo del nuovo regolamento sulla protezione dei dati personali che dal 25 maggio dovrà essere applicato da imprese, enti pubblici e da chiunque gestisca piattaforme web. Fortemente voluto dall’Unione Europea, il General Data Protection Regulation, a differenza della Legge Cookie del 2014, impone alle aziende di mettere a punto dei programmi di adeguamento precisi e in breve tempo.

La ratio è potenziare la tutela dei dati personali dei cittadini europei di fronte ai rischi connessi al digitale. Un modo per rafforzare la privacy al tempo dei social, dei big data, delle profilazioni degli utenti e delle pubblicità mirate, partendo dal principio che, come si legge nel testo, «il trattamento dei dati dovrebbe essere al servizio dell’uomo».  La buona notizia è che il tema è entrato con forza nel dibattito pubblico. Secondo un’indagine dell’Osservatorio Information Security & Privacy del Politecnico di Milano solo l’8% delle imprese italiane ha una scarsa conoscenza dell’impatto del GDPR.

Come adeguarsi in tempi brevi

A circa un mese dall’entrata in vigore è comunque saggio ripassare la lezione. Cosa fare quindi per adeguarsi? Che siate un’azienda, un privato o una pubblica amministrazione la regola è una: va introdotta un’attenta pianificazione sia dal punto di vista dell’organizzazione aziendale che dal punto di vista degli investimenti tecnologici. Con il regolamento la tutela dei dati personali viene resa più strutturata imponendo a chi tratta i dati di assumersi maggiori responsabilità.

Il GDPR stabilisce infatti regole più chiare su informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali e pone le basi per l’esercizio di nuovi diritti. Tra questi è bene che le organizzazioni ne conoscano tre: il diritto all’oblio ovvero il diritto dell’utente alla cancellazione dei propri dati personali, il diritto alla portabilità dei dati, la possibilità di scaricare i propri dati e di trasferirli altrove, e il diritto di accesso che impone una comunicazione trasparente sul perché e sul come le organizzazioni utilizzeranno i dati che stanno raccogliendo.

Per questo motivo una prima novità è che le organizzazioni dovranno predisporre l’introduzione dei registri delle attività di trattamento. In questi database le imprese dovranno specificare le finalità per cui stanno procedendo al trattamento dei dati, le categorie di dati personali e di soggetti interessati e le misure di sicurezza adottate. Oltre a segnalare i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale. Sarà anche necessario dotarsi di una procedura per informare gli utenti di eventuali data breach, le temutissime violazioni dei dati. La comunicazione, chiarisce il testo, deve avvenire poi «senza ingiustificato ritardo» ed entro 72 ore dalla presa d’atto della violazione.

Le sanzioni e gli esperti di privacy

Adeguarsi in ogni caso non è un optional. Per chi non si conformerà alle normative sono previste delle sanzioni salate che possono arrivare fino al 4% del fatturato annuo globale. I controlli sul rispetto delle normative previste dal GDPR, inoltre, saranno molto rigidi: ogni stato membro dovrà far riferimento a un’autorità competente che a livello nazionale gestirà la conformità e potrà emettere sanzioni autonomamente.

Un’azienda sarà passibile di sanzione se, per esempio, non avrà introdotto policy adeguate per il consenso al trattamento dei dati personali. Anche per questo l’Unione Europea ha invitato i diversi paesi a elaborare dei codici di condotta per la corretta applicazione del regolamento. Per gli enti pubblici e le aziende che effettuano poi «un monitoraggio regolare e sistematico dei dati su larga scala» gli obblighi aumentano. In particolare queste organizzazioni dovranno selezionare e nominare un Data Protection Officer, un esperto che, nella pratica, dovrà garantire la conformità dell’azienda al nuovo regolamento europeo.

I nostri approfondimenti:

Gdpr e professionisti tecnici: focus

Gdpr, app e smartphone

Biometrica e privacy

Manager o informatico? Chi è il DPO

Copyright © - Riproduzione riservata
L'autore
GDPR, countdown per le novità sulla privacy: cosa fare per adeguarsi Ingegneri.info