Dal 25 maggio 2018 è direttamente applicabile e sanzionabile in tutti gli Stati membri il nuovo Regolamento Europeo 2019/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.
Il GDPR nasce da precise esigenze, come indicato dalla stessa Commissione Ue, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo. Si tratta poi di una risposta, necessarie e urgente, alle sfide poste dagli sviluppi tecnologici.
Cosa devono sapere le aziende
Il GDPR ridisegna il concetto di privacy introducendo norme specifiche su modalità di trattamento dei dati, diritti dei soggetti interessati, chi è responsabile dei dati, modalità di comunicazione di eventuali violazioni subite, sanzioni per l’infrazione del regolamento.
Per essere conformi al GDPR le aziende devono prepararsi in anticipo, rivendo le proprie policy e, se necessario, adeguandole alle richieste del regolamento.
A chi si applica?
Le norme del GDPR proteggono i dati dei cittadini europei e si applicano a tutte le società che trattano o gestiscono tali dati, a prescindere dal Paese in cui hanno la sede legale o in cui i dati vengono elaborati. Sono soggette al GDPR le aziende che offrono beni o servizi (a pagamento o meno) o che monitorano il comportamento di individui residenti nella UE.
Le sanzioni nel GDPR
Il GDPR introduce multe economiche per le aziende che non rispettano il regolamento, che possono ammontare fino al 4 per cento del fatturato annuale globale o a 20 milioni di euro. Un’azienda è passibile di sanzione se, per esempio, non ha policy adeguate per il consenso al trattamento dei dati personali o se viola i principi alla base del concetto di “Privacy by Design”.
Nuove norme sul consenso al trattamento dei dati
Le società che raccolgono o trattano dati personali devono spiegare in modo chiaro agli utenti tutte le condizioni che regolano raccolta e trattamento dei dati. È responsabilità di chi raccoglie/gestisce i dati redigere termini e condizioni in un linguaggio semplice, comprensibile a tutti i cittadini, senza possibilità di equivoco. Gli stessi criteri si applicano per gli strumenti attraverso cui l’utente esprime il proprio consenso. È inoltre obbligatorio dichiarare come verranno elaborati i dati richiesti all’utente.
Adempimenti GDPR
E' indispensabile partire da un'analisi generale dell'azienda, del suo contesto e di quello delle eventuali controllate.
In questo modo se l'azienda fa già parte di un gruppo con sede in Europa che ha già provveduto all'adeguamento, dovrà solo ricevere da quest'ultima il nuovo protocollo.
E' indispensabile inoltre adottare un registro del trattamento dei dati personali e redigere tutta la documentazione richiesta dal regolamento, definendo i ruoli e i responsabili ad attuare le implementazioni richieste.
L'adeguamento privacy GDPR può risultare abbastanza complicato, e le sanzioni previste sono molto pesanti.
Per questo motivo è necessario affidarsi a consulenti e a personale specializzato in grado di spiegare al personale il come adeguarsi al GDPR.