Regolamento Europeo GDPR
Il GDPR (General Data Protection Regulations) è il regolamento europeo in vigore dal 25 Maggio 2018 che sustituisce la Direttiva sulla protezione dei dati 95/48/CE. Sono coinvolte tutte le imprese a cui è richiesta la conformità (compliance) al Regolamento generale sulla protezione dei dati.
Il nuovo regolamento consente ai cittadini dell'UE di avere un maggior controllo sui propri dati personali e sensibili e il loro trattamento.
La normativa prevede che l'azienda dimostri il trattamento dei dati in possesso e valuti i mezzi e gli strumenti di protezione. Deve inoltre dimostrare l'eventuale condivisione dei dati e uniformarsi per non incorrere in sanzioni. L'impresa che subisce una violazione deve darne tempestiva segnalazione all'autorità competente entro le 72 ore dal momento in cui ne è venuta a conoscenza da parte del DPO (Data Protection Officer), nuova figura professionale nell'impresa designata con il nuovo regolamento.
Le sanzioni in vigore con il nuovo Regolamento GDPR 2016/679
Il quadro delle sanzioni rende l'adeguamento al nuovo Regolamento una priorità. Infatti, oltre alle sanzioni amministrative a seguito di verifiche o segnalazione da parte di terzi, il mancato adeguamento può comportare anche l'impossibilità da parte dell'impresa di svolgere le attività, magari per una limitazione imposta dalle autorità .- Sanzioni amministrative fino a 20 milioni di euro.
- Sanzioni fino al 4% del fatturato mondiale totale annuo.
- Oltre le sanzioni, avvertimenti al titolare del trattamento o responsabile.
- Oltre le sanzioni, accertamenti periodici fino all'adeguamento.
- Oltre le sanzioni, imporre la sospensione del trattamento dei dati.
- Oltre le sanzioni, ordinare la cancellazione dei dati.
Il GDPR fornisce i seguenti diritti ai cittadini dell'UE:
- Il diritto ad essere informato.
- Il diritto all'accesso.
- Il diritto di rettifica.
- Il diritto di cancellazione.
- Il diritto di limitare l'elaborazione.
- Il diritto alla portabilità dei dati.
- Il diritto a porre obiezioni.
- Diritti in relazione alla profilatura e al processo decisionale automatizzato .
- Ai bambini inferiori di 13 anni è richiesto consenso esplicito genitori o tutori.
I reparti maggiormente coinvolti per rispettare i requisiti
La stessa normativa GDPR coinvolge tutto il personale dell'impresa in modi diversi e per differenti reparti. La Compliance del Regolamento coinvolge anche i siti internet, già interessati nel 2015 dalla Cookie Law, andando cosi a definire gli ambiti di applicazione del trattamento da parte delle imprese.- Risorse umane.
- Vendite.
- Legale.
- Finanza.
- Sicurezza informatica.
- Marketing.
Una politica rigorosa
Tutte le aree di un'azienda devono disporre di meccanismi per garantire la protezione dei dati, cosi come un metodo di archiviazione sicuro, anche per la memorizzazione dei dati non strutturati, come foto e email.- Eliminazione delle informazioni confidenziali e personali.
- Concetto di scrivania pulita.
- Formazione sulla consapevolezza della sicurezza per il personale.
- Protezione di ogni PDL (postazione di lavoro) con password complesse.
- Crittografia dei dati per tutti i dati sensibili delle PDL.
- Antivirus e aggiornamenti costanti delle PDL.