TAAItaly-it-gdpr-10-parole
Compliance28 marzo, 2018

Cos'è il GDPR in 10 parole chiave

La Commissione europea, tramite l’entrata in vigore del GDPR, intende rafforzare e unificare la protezione dei dati personali entro i confini dell'Unione europea.
Si avvicina la data dell'applicabilità del normativa: conosci i concetti chiave che ruotano intorno al GDPR?

Qui le 10 parole più importanti spiegate in breve:

1. G.D.P.R.

In estrema sintesi, con l’introduzione del General Data Protection Regulation:

  • si introducono regole più chiare su informativa e consenso
  • definiti i limiti al trattamento automatizzato dei dati personali
  • poste le basi per l’esercizio di nuovi diritti
  • stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue
  • fissate norme rigorose per i casi di violazione dei dati (data breach).

2. Consenso

La persona a cui si riferiscono i dati deve fornire il consenso “esplicito” affinché i dati stessi possano essere conservati e trattati per lo scopo comunicato.
Ad esempio, su un sito web, indicando il proprio nome, cognome e indirizzo email, la persona deve esplicitamente accettare che i suoi dati vengano acquisiti e trattati secondo l’informativa che gli viene fornita.
Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

3. Informativa privacy

È il testo che indica da chi vengono acquisiti i dati, chi ne è il responsabile e per quali finalità vengono richiesti.
L’informativa deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile. Deve essere fornita per iscritto e preferibilmente in formato elettronico.

4. Data breach

Tutti i titolari - e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi - dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza.
La comunicazione deve essere effettuata soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.
La notifica all’Autorità dell’avvenuta violazione quindi non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare.

5. Oblio

È il diritto alla cancellazione dei propri dati personali in forma rafforzata.
Si prevede, infatti, l’obbligo per i titolari (se hanno “reso pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione”.

6. D.P.O.

È il Data Protection Officer, ovvero il “responsabile della protezione dati”.
Incaricare e definire una persona responsabile dei dati riflette l’approccio responsabilizzante che è proprio del regolamento, essendo finalizzata a facilitare l’attuazione del regolamento da parte del titolare/ responsabile.
Non è un caso, infatti, che fra i compiti del DPO rientrino “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto.
La sua designazione è obbligatoria in alcuni casi e il regolamento tratteggia le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali).

7. 25 Maggio 2018

Data in cui entrerà in vigore la nuova normativa GDPR.

8. Sanzioni

Sanzioni amministrative: i titolari e responsabili possono essere multati fino a 20mln € o fino al 4% del fatturato mondiale totale annuo.

9. 72 ore

Termine per inviare la notifica delle violazioni di dati personali.
Tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi – dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”.

10. PIA - valutazione d’impatto

I titolari dovranno effettuare una valutazione degli impatti privacy (Privacy Impact Assessment – PIA) fin dal momento della progettazione del processo aziendale e degli applicativi informatici di supporto, nei casi in cui il trattamento, per sua natura, oggetto o finalità, presenti rischi specifici per i diritti e le libertà degli interessati.

La soluzione che fa per te
Privacy Cloud
Il software in cloud creato per aiutare gli studi professionali, aziende, DPO e consulenti privacy a gestire gli adempimenti previsti dal GDPR in materia di protezione e sicurezza dei dati personali.