Fonte immagine © Freepik
GDPR Il regolamento generale sulla protezione dei dati.
Ormai la parola GDPR è sulla bocca di tutti, ma raramente si riesce ad avere idee chiare riguardo cosa bisogna fare e soprattutto chi deve farlo.
Cerchiamo di chiarire i punti più importanti
Che cos’è il GDPR?
Si tratta di una normativa europea che regola il trattamento e la protezione dei dati dati sensibili e personali dei propri cittadini e che entrerà in vigore dal 25 maggio 2018.
Introduce nuovi obblighi e nuove sanzioni che impongono alle aziende sul territorio europeo l’adozione di specifiche misure per la protezione dei dati personali.
Per dati personali si intendono tutti i dati che possano identificare una persona e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..
Cosa chiede la normativa?
La normativa interessa, obbligatoriamente, tutte le aziende che trattano questa tipologia di dati, indipendentemente dalla sua grandezza e dal numero di dipendenti.
Infatti consigliamo di diffidare di chi fa della grandezza aziendale l’unico fattore per valutare l’entità delle operazioni da fare per mettersi in regola con la normativa, tutto dipende dalla tipologia dei dati trattati.
Il gdpr richiede che il titolare del trattamento abbia piena consapevolezza delle fragilità e dei rischi a cui si è esposti, in modo da proteggere i dati e agevolare il processo di conformità.
Diventa importante come si affronta il data breach (incidente di sicurezza in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato), quindi in questo caso l’azienda ha l’obbligo di fare denuncia dell’accaduto al garante privacy a tutti i clienti entro 72 ore dalla scoperta e di ripristinare il tutto nel più breve tempo possibile.
La comunicazione al garante deve contenere (riferimento articolo 33):
- la descrizione della violazione
- la natura dei dati interessati
- le probabili conseguenze della violazione
- le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e/o per attenuare i possibili effetti negativi.
Anche gli attacchi di cryptoloker sono considerati Data Breach e vanno comunicati.
LE REGOLE BASE QUINDI SONO:
- Trattare il minor numero di dati personali possibili previa esplicita autorizzazione della persona fisica e solo per il tempo necessario
- distribuire le responsabilità e documentare i trattamenti
- adottare misure di sicurezza per la protezione dei dati
Quali sono le parti in gioco?
Interessato è la persona fisica cui si riferiscono i dati personali. Quindi, se un trattamento riguarda, ad esempio, l’indirizzo, il codice fiscale, ecc. di Mario Rossi, questa persona è l”interessato”
Titolare è la persona fisica, l’impresa, l’ente pubblico o privato, l’associazione, ecc., cui spettano le decisioni sugli scopi e sulle modalità del trattamento, oltre che sugli strumenti utilizzati
Responsabile è la persona fisica, la società, l’ente pubblico o privato, l’associazione o l’organismo cui il titolare affida, anche all’esterno della sua struttura organizzativa, specifici e definiti compiti di gestione e controllo del trattamento dei dati
Incaricato è la persona fisica che, per conto del titolare, elabora o utilizza materialmente i dati personali sulla base delle istruzioni ricevute dal titolare e/o dal responsabile
Quali sono le sanzioni?
Le sanzioni diventano molto più severe: fino a € 20.000.000 per i privati e le imprese o fino al 4% del fatturato complessivo se superiore