Conosciamo il GDPR

Il Parlamento Europeo, nell’aprile 2016, ha approvato il Regolamento Generale sulla Protezione dei Dati (GDPR) [Regolamento (UE) 2016/679], che è entrato in vigore a partire dal 25 maggio 2018.

Grazie a questo nuovo Regolamento, la protezione dei dati assume una posizione di prima linea tra i processi aziendali, con un impatto significativo sulla gestione delle informazioni personali relative sia a clienti che a dipendenti.

Rimane comunque ad oggi in vigore la precedente normativa – D.Lgs. n. 196/2003, c.d. T.U. della Privacy, seppur modificata ed implementata alla luce del Regolamento Ue e con il Dlgs n. 101/2018.

In pratica tutti siamo soggetti a nuove regole di accountability, ossia responsabilizzazione, da rispettare e monitorare: IDEA PSI si pone al servizio delle imprese sposando pienamente questa logica.

Praticamente: siamo soggetti a nuove regole di autovalutazione.

 

A chi si applica il GDPR?

Il nuovo Regolamento andrà a rafforzare il livello di tutela dei dati per tutte le persone fisiche all’interno dell’UE indipendentemente da dove sono custoditi i dati.

L’articolo 3 del GDPR ne definisce il campo di applicazione territoriale, che riguarda:

  • il trattamento dei dati personali nel contesto delle attività delle organizzazioni/aziende dell’Unione Europea, indipendentemente dal fatto che il trattamento dei dati sia effettuato o meno all’interno dell’Unione.
  • il trattamento dei dati personali di interessati che si trovano nell’Unione da parte di un responsabile del trattamento o incaricato del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano l’offerta di beni o servizi ai suddetti interessati nell’Unione, o il controllo del loro comportamento all’interno l’Unione.
  • il trattamento di dati personali da parte di organizzazioni/aziende non stabilite nell’Unione, ma in un luogo soggetto al diritto nazionale di uno Stato membro in virtù del diritto internazionale pubblico. Lo stesso vale per le organizzazioni /aziende con sede in paesi extra-UE tenute a rispettare il suddetto GDPR, anche se non hanno una sede all’interno dell’UE.

Molto sinteticamente, tutti i soggetti giuridici assumono nuovi obblighi di legge.

In pratica: tutti i soggetti giuridici assumono nuovi obblighi.

 

Come un’azienda può dimostrare di essere conforme al GDPR

Le aziende, per soddisfare i propri requisiti di responsabilità, devono dimostrare di essere conformi ai principi del GDPR.

Tale conformità è da valutarsi, ad esempio, sul sistema di protezione dati, sulle politiche di policy, sulla formazione del personale, sugli audit interni relativi al trattamento dati e sulle politiche delle risorse umane. Altrettanto utile ai fini della validazione della conformità è la presenza di misure di protezione dati previste già in fase progettuale e predefinite nei processi.

Le aziende, i cui obblighi specifici cambiano in base alle caratteristiche dimensionali e organizzative, dovranno censire, valutare e registrare le attività di trattamento dati, anche nelle situazioni di maggior rischio, come quando l’utilizzo dei dati potrebbe nuocere i diritti e libertà degli individui o nel caso in cui l’utilizzo dei dati si riferisca a soggetti appartenenti a categorie speciali, dati particolari o inerenti a condanne penali e reati.

In alcuni casi potrebbe essere utile prendere in considerazione il rilascio della certificazione per la Norma ISO 27001, lo standard internazionale che stabilisce i requisiti per programmare, realizzare e migliorare, in un contesto aziendale, il sistema di gestione della sicurezza delle informazioni – conosciuto con la sigla ISMS.

In sostanza, i nuovi obblighi si basano su un processo di autovalutazione, specifico e ciclicamente ripetuto nel tempo.

Praticamente: i nuovi obblighi si basano su un procedimento di autovalutazione.

 

Sanzioni

Nell’analisi dell’apparato sanzionatorio del GDPR ci si concentra di solito sulle rilevanti cifre previste dall’articolo 83, che arrivano a colpire Titolari e Responsabili del trattamento con sanzioni amministrative fino a 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo. Riportiamo di seguito alcuni stralci più significativi.

Articolo 83 – Condizioni generali per infliggere sanzioni amministrative pecuniarie

Par 4. “In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: …”

 Par. 5. “In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: a) i principi di base del trattamento …”

 Par 6. “ In conformità del paragrafo 2 del presente articolo, l’inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. … “

In realtà, come già previsto dalla legislazione vigente, le autorità di controllo hanno una serie di poteri correttivi previsti dall’articolo 58. Tali poteri prevedono fra gli altri la possibilità di limitare o vietare un trattamento. Le conseguenze economiche di una disposizione di questo tipo potrebbero essere anche più gravi di quelle derivanti da una sanzione amministrativa: l’impossibilità di effettuare un trattamento potrebbe comportare, ad esempio, la sospensione dell’erogazione di un servizio verso i clienti, con le conseguenti possibili cause legali da parte di questi ultimi.

Ci troviamo difronte quindi ad un quadro sanzionatorio complessivo molto articolato, che tuttavia è importante conoscere per una adeguata valutazione economica dei rischi di non conformità, anche al fine di valutare appropriati investimenti per adeguarsi alla norma: risulta evidente che, per le imprese e per i professionisti il cui trattamento dei dati è un aspetto imprescindibile per l’attività lavorativa, non si può non adeguarsi a tali disposizioni, senza incorrere in pesanti multe e restrittivi provvedimenti.

IDEA PRIVACY rappresenta una soluzione per un corretto approccio alla gestione di tale rischio.

In pratica: non è necessario assumere tale rischio.

 

Come i prodotti di IDEA PSI possono esservi utili

I Nostri prodotti offrono una valutazione sul trattamento e sulla protezione dei dati, utile nell’identificazione e risoluzione di problemi potenziali anche in una fase embrionale, che possono essere evoluti anche in un approccio efficace orientato verso un processo di Data Protection by design.

IDEA PSI offre dei prodotti completi volti all’armonizzazione strutturale e normativa della realtà aziendale ed alla formazione dei processi e documenti necessari volti all’armonizzazione nei confronti della normativa Europea e nazionale, ovvero una formazione relativa a tali materie con indicazioni pratiche su come realizzare gli obiettivi prefissati.

IDEA PSI ha una rodata e pluriennale collaborazione con vari Responsabili della Protezione dei Dati – DPO/RDP – qualificati e certificati, i quali possono fornire anche un definitivo completamento delle esigenze aziendali.

IDEA PSI cerca e trova la soluzione, risolve il problema, monitora i risultati, diventando così la tua scelta più efficiente per la tutela della riservatezza e dei relativi processi gestionali.

Praticamente: IDEA PSI vi aiuta a risolvere il problema.