Facciamo un piccolo riepilogo e spieghiamo in breve che cos’è il GDPR e che cosa prevede.
GDPR è l’acronimo in inglese di General Data Protection Regulation, cioè il Regolamento generale sulla protezione dei dati.
Si tratta di un regolamento europeo che disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali dei soggetti con cui entrano in contatto (ad esempio collaboratori, candidati, fornitori o clienti!).
È entrato in vigore il 25 Maggio 2018 e interessa in misura diversa tutte le imprese private e gli Enti pubblici, a cui è richiesto di mettere in atto una serie di procedure volte alla protezione dei dati sensibili dei loro dipendenti, clienti, fornitori, nonché dei dati di utenti esterni acquisiti attraverso internet canali differenti.
A vostro parere, quali sono gli adempimenti necessari per far sì che aziende e società si adeguino al GDPR?
Il GDPR impone obblighi vincolanti nell’UE coinvolgendo tutte le aziende e gli Enti pubblici. Il consiglio è di non fare finta di niente sperando che non arrivino i controlli, perché non adeguarsi significa restare tagliati fuori dalle nuove regole del mercato europeo.
Ecco una lista dettagliata di cosa fare:
- Preparare l’organizzazione
Far conoscere alle parti interessate in tutta la tua organizzazione i requisiti del GDPR. Formare i dipendenti in materia di sicurezza informatica, “privacy by design” e “privacy by default”. Designare un Responsabile della Protezione dei Dati (o DPO, dall’inglese Data Protection Officer) ove richiesto, ovvero se si impiegano più di 250 persone.
- Effettuare l’audit dei dati
Assicurarsi di sapere dove sono custoditi tutti i dati, chi ne ha accesso e su quali dispositivi. Identificare dove vengono elaborati i dati personali, anche in presenza di responsabili del trattamento riconducibili a terze parti. Documentare i criteri di liceità del trattamento e mantenere aggiornate le presenti informative sulla privacy.
- Controllare i partner di servizi
Accertarsi che i partner di servizi, ovvero per esempio i servizi di terze parti incorporati sul tuo sito o i fornitori di Software-as-a-Service, siano a loro volta conformi al GDPR o dipendono da un’altra giurisdizione riconosciuta ufficialmente per quanto riguarda il trattamento dei dati.
- Ottenere il consenso
Implementare metodi finalizzati a richiedere, ottenere e documentare il consenso per garantire la conformità al regolamento. Mantenere un registro preciso di ciò a cui ogni interessato ha acconsentito e fornire a ciascuno di loro la possibilità di modificare o revocare il consenso.
- Rispondere ai diritti relativi ai dati
Mettere in atto procedure che consentano alla tua organizzazione di rispondere ai diritti dell’interessato, ovvero l’accesso ai dati, la loro rettifica e la loro cancellazione. Documentare come tali diritti saranno esercitabili dalla prospettiva sia dei clienti che dei dipendenti.
- Prepararsi ai data breach
Assicurarsi dell’esistenza di procedure per individuare, investigare e segnalare le violazioni dei dati personali rispettando la tempistica massima di 72 ore prevista dal GDPR per la notifica.
Nel caso in cui non vengano ottemperati gli obblighi sanciti dal GDPR si può incorrere in sanzioni amministrative e in sanzioni penali. Potreste indicarci quali sono le principali?
Se si viola il regolamento, scattano delle sanzioni a seconda della gravità dell’infrazione.
Le multe sono divise in due scaglioni: fino a un massimo di 10 milioni di euro o, per le imprese, il 2% del fatturato (se superiore) che viene inflitta per la trasgressione di principi come la privacy by design o la carenza di misure adatte a garantire un buon standard di sicurezza.
Oppure fino a un massimo di 20 milioni o il 4% del turnover, sempre per le aziende e sempre in rapporto al giro d’affari che arriva in caso di violazione dei principi fondamentali, come la negazione del diritto all’oblio o l’opacità nella richiesta di consenso dei dati.
Oltre alle sanzioni che verrebbero evitate, ci spieghereste brevemente quali altri vantaggi potrebbe offrire l’utilizzo del GDPR in azienda?
Altri vantaggi sono sicuramente:
- Razionalizzazione dei processi e delle procedure;
- Raccolta del minimo dei dati personali;
- Ottimizzazione dei costi;
- Maggiore protezione dei dati;
- Garanzia dei dati significa maggior fiducia da parte del cliente.
Leggere qui per approfondimenti.
Potreste fare un bilancio di questi ultimi quattro anni dall’introduzione del GDPR e raccontateci cosa è cambiato e quali sono le sfide ancora da risolvere?
A 4 anni di distanza dall’introduzione del GDPR, possiamo affermare che sono stati adottati numerosissimi provvedimenti collegiali, le ispezioni sono state effettuate in numerosi settori, e ci sono stati più di 8.000 riscontri forniti a reclami e segnalazioni e ben 1443 i data breach notificati da parte di soggetti pubblici e privati.
Per restare al passo e per uscirne vincitori sarà necessario adottare un approccio trasversale e dinamico, capace di cogliere e comprendere tutti gli aspetti, le opportunità e le criticità che caratterizzano le diverse tecnologie che vengono continuamente immesse sul mercato, anche attraverso una valutazione economica ex ante dell’impatto della regolazione sui mercati.
E ciò sarà possibile soltanto attraverso un coordinamento con le altre autorità indipendenti, nazionali e internazionali, pur nella necessaria diversità di compiti, attribuzioni e perimetro di controllo e garanzia, e mantenendo vivo il dialogo con tutti i protagonisti dell’ecosistema costruito dal GDPR, dalle aziende ai DPO, dalle istituzioni agli interessati, alle associazioni rilevanti nel settore, contribuendo così a diffondere ed arricchire la cultura della privacy.