Il 25 maggio 2018 è entrato in vigore in tutta l’Unione Europea il Regolamento UE 679/2016, più noto come GDPR (General Data Protection Regulation). Il nuovo Regolamento, che sostituisce la Direttiva 95/46/Ce, apporta sostanziali modifiche alla disciplina del trattamento e della libera circolazione dei dati personali.
In altre parole, con l’introduzione del GDPR le organizzazioni sono chiamate tutelare la privacy in modo più stringente e corretto.
Il nuovo Regolamento coinvolge direttamente tutti gli enti, pubblici e privati, che trattano i dati personali delle persone residenti nell’Unione Europea. Tra le novità introdotte dal GDPR spiccano una maggiore responsabilizzazione richiesta alle organizzazioni in termini di consapevolezza degli adempimenti e degli obiettivi da raggiungere e, per chiunque non rispetti il Regolamento, l’applicazione di sanzioni pecuniarie fino a 20 milioni di euro o al 4% del fatturato globale annuale, se superiore.
19.437.495 milioni di euro
Questo è il dato delle sanzioni comminate alle aziende e alle organizzazioni pubbliche per violazione delle norme GDPR nel 2021.
Fonte: Enforcement Tracker
E’ evidente come nessuna organizzazione possa permettersi di sottovalutare o trascurare l’entrata in vigore del GDPR. Al tempo stesso, però, alla luce del ricorso massivo allo smart working da parte delle aziende a seguito dell’emergenza pandemica, è importante capire come il nuovo regolamento si applichi alla tutela della privacy nel lavoro da remoto, considerando anche i rischi per la sicurezza informatica.
Che cos’è il GDPR
Il GDPR è il nuovo Regolamento generale sulla protezione dei dati dei cittadini europei che è entrato pienamente in vigore in tutti gli Stati dell’Unione il 25 maggio 2018.
Con la sua introduzione viene mandata in soffitta la precedente direttiva 95/46/Ce, nata appunto nel 1995 quando il flusso e lo scambio dei dati, anche sensibili, erano notevolmente inferiori. A quel tempo, la Rete come la conosciamo oggi non esisteva e colossi come Google e Facebook non erano ancora all’orizzonte.
La rivoluzione introdotta dal GDPR è tale che, in uno degli ultimi Consigli dei Ministri, il governo uscente ha approvato il Decreto legislativo che di fatto abroga il Codice privacy finora in vigore (D.Lgs. 196/2003), introducendo le disposizioni per adeguarsi al nuovo Regolamento.
Le principali novità del nuovo GDPR
Le novità introdotte dal Regolamento europeo per il trattamento e la gestione dei dati personali definiscono in modo più puntuale e specifico l’area dei diritti e dei doveri tanto delle organizzazioni interessate quanto degli utenti.
Accountability o responsabilizzazione
I titolari del trattamento devono assicurare il rispetto dei principi del GDPR, mediante comportamenti proattivi e sempre dimostrabili. In altre parole, il titolare del trattamento non deve soltanto strutturare la propria organizzazione in modo da garantire un livello di sicurezza adeguato sul piano normativo, ma anche giustificare le scelte compiute in merito.
Nuovi diritti
Vengono riconosciuti nuovi diritti agli interessati del trattamento quali:
- diritto alla portabilità dei dati, attraverso il quale l’utente può ottenere dal titolare del trattamento i dati personali che lo riguardano e trasmetterli ad un altro titolare del trattamento, come può essere ad esempio un’altra azienda;
- diritto alla cancellazione (diritto all’oblio);
- diritto di proporre reclamo all’autorità di controllo.
Privacy by Design e Privacy by Default
Il GDPR prevede l’implementazione di misure atte a proteggere i dati personali fin dalla fase di progettazione (by design) di un servizio, di un prodotto (come nel caso di un software) o di un processo. L’obiettivo, in questo caso, è integrare già nel momento della creazione di tali elementi le regole e i principi di protezione dei dati, riducendo in questo modo il relativo trattamento.
La protezione per impostazione predefinita (privacy by default), invece, implica l’attuazione di interventi finalizzati a garantire soltanto il trattamento di quei dati personali necessari per la specifica finalità perseguita.
Approccio basato sul rischio
Un’altra importante novità introdotta dal GDPR è che il titolare della gestione dei dati valuti il rischio connesso ai trattamenti già effettuati e il loro impatto sulla protezione dei dati personali stessi. Se necessario, è richiesta l’esecuzione di una specifica Valutazione di Impatto sui Dati Personali (DPIA).
Responsabile della Protezione dei Dati (DPO)
Una fondamentale innovazione del nuovo GDPR è costituita dalla designazione di un RDP (Data Protection Officer – DPO), con funzioni che vanno dalla sorveglianza dell’applicazione del GDPR alla promozione della cultura della tutela dei dati personali, fino alla gestione dei rapporti con l’Autorità Garante.
Il DPO, in altri termini, è una sorta di controllore il cui compito è verificare la corretta applicazione del nuovo Regolamento GDPR. Tale figura è obbligatoria nei seguenti casi:
- nella PA e negli enti pubblici, ad eccezione delle autorità giudiziarie;
- nelle aziende che presentano più di 250 dipendenti;
- nelle aziende che trattano dati sensibili e su larga scala.
Registro di trattamenti
Il GDPR 2018 introduce poi l’obbligo, per tutti gli organismi con più di 250 dipendenti, o che effettuano trattamenti a rischio, di tenere un registro delle operazioni di trattamento.
Notifica tempestiva
È introdotto l’obbligo di comunicazione all’autorità di controllo, entro 72 h dal momento in cui il titolare ne ha avuto conoscenza, delle violazioni dei dati personali, in subordine alla valutazione del rischio associato alla violazione.
Codici di condotta e schemi di certificazione
Il GDPR introduce gli strumenti per aiutare le organizzazioni al raggiungimento della conformità e per attestare l’adeguatezza delle misure di sicurezza adottate.
Le sanzioni previste dal nuovo GDPR
Tra le novità più temute dalle organizzazioni spiccano le sanzioni per quanti non dovessero rispettare il GDPR. Nello specifico, il nuovo Regolamento impone che l’importo, da valutare in funzione dei numerosi elementi previsti nell’art. 83, possa toccare anche la cifra di:
10 milioni
di euro
fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, per violazioni minori (8, 11, da 25 a 39, 42 e 43…)
20 milioni
di euro
fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, per violazioni legate al rispetto dei diritti fondamentali ( 5, 6, 7 e 9, 12 a 22, 44 a 49).
Inoltre, ai sensi dell’articolo 84, i singoli Stati possono definire ulteriori sanzioni. Le autorità di controllo, dal canto loro, mantengono poteri di ammonimento, ingiunzione, revoca di certificazioni e limitazione o divieto di trattamento, con inevitabili ripercussioni sul servizio erogato.
Quali misure devono mettere in campo le aziende per essere conformi al GDPR
Il GDPR coinvolge direttamente oltre 500 milioni di persone e si applica a tutte le organizzazioni, pubbliche e private che trattano e gestiscono i dati personali di quanti risiedono nell’Unione Europea.
A fronte delle novità introdotte nel campo della privacy dal nuovo Regolamento europeo, le aziende sono chiamate a mettere in campo una serie di misure fondamentali per non incorrere nelle sanzioni previste dal nuovo regolamento.
Protezione dei dati
- Le aziende devono organizzarsi per dimostrare in modo documentato di aver fatto tutto ciò che è nelle loro possibilità per proteggere i dati personali a loro affidati.
- Le aziende sono chiamate a preservare i dati personali: dalla distruzione, dalla perdita o dalla modifica fortuita o illecita, e dalle divulgazioni o dagli accessi non autorizzati.
- Alle aziende è richiesto di monitorare il sistema delle protezioni per individuare eventuali violazioni (interne o esterne) ed effettuare tempestive comunicazioni ad autorità e interessati, nei casi previsti.
Utilizzo dei dati
- Le aziende devono utilizzare i dati personali in modo lecito, corretto e trasparente.
- Le aziende sono chiamate a dimostrare di aver ricevuto un consenso esplicito per tutti i trattamenti effettuati.
- Alle aziende è richiesto di predisporre misure di data governance che includano la predisposizione di documentazione dettagliata e la continua valutazione del rischio.
Conoscenza dell’universo dei dati
Per ogni azienda è importante avere una chiara conoscenza di:
- quali siano i trattamenti effettuati e le categorie di dati personali gestiti;
- come vengano trattati e protetti i dati personali;
- dove siano localizzati i dati personali;
- chi è autorizzato a trattare i dati personali.
Non sei ancora conforme al GDPR?
Scopri ora come fare con la nostra presentazione!
Come il GDPR tutela la privacy in smart working
Come già detto, la tutela della privacy rappresenta un punto centrale del GDPR. E’ importante però comprendere quali siano le misure che le organizzazioni sono chiamate ad adottare per essere conformi alla normativa e rispettare la privacy dei propri dipendenti impegnati in forme di smart working.
Art. 30 GDPR
Nuovi possibili aspetti (come ad esempio misure di sicurezza, banche dati etc.) strettamente riconducibili all’attività in smart working devono essere integrati con il registro dei trattamenti.
Art. 29 GDPR
L’organizzazione deve procedere alla verifica dell’effettiva idoneità delle istruzioni impartite ai soggetti autorizzati al trattamento. In particolare, è importante assicurare una diversificazione degli accessi dei dipendenti ai dati aziendali nel rispetto delle autorizzazioni rilasciate.
Art. 28 GDPR
L’organizzazione deve verificare se le soluzioni tecnologiche o le piattaforme messe a disposizione da terzi siano conformi al GDPR, valutando eventualmente l‘adeguatezza di data processing agreement da sottoscrivere per la nomina a Responsabili del trattamento.
Art. 35 GDPR
L’organizzazione deve verificare se il ricorso generalizzato allo smart working richieda l’effettiva valutazione di impatto sul trattamento dei dati personali.
Artt. 15-22 / 33 GDPR
Al fine di gestirle nel modo più corretto possibile, è importante canalizzare le segnalazioni relative a possibili violazioni di dati personali in piattaforme / canali / procedure online dedicati.
Art. 32 GDPR
Sulla base della situazione emergenziale e delle risorse di cui si dispone, l’organizzazione è chiamata a valutare l’effettiva adeguatezza delle misure tecniche ed organizzative messe in campo.
GDPR compliance e tutela della privacy
CHIAMACI
T 0666991306
M 3371004630
Questo contenuto ti è piaciuto?
Non perderti nessuna novità con la newsletter di Igeam