GDPR Privacy e IT

Nell’ultimo periodo sempre più spesso ci vengono richieste informazioni inerente al GDPR, e sempre più spesso notiamo sovrapposizione di concetti. La risposta che cerchiamo sempre di dare è quello di non avere un solo consulente che segua tutta questa parte, ma cercare di organizzare un pool di professionisti che collaborino tra di loro ad esempio:

  • l’azienda che segue il cliente dal punto di vista sistemistico
  • la software house
  • Chi tiene la contabilità
  • Lo studio legale

e gli permetta di farli lavorare insieme per produrre un risultato completo. Riportiamo di seguito qualche informazione sull’argomento.

Cos’è il GDPR

Il General Data Protection Regulation (GDPR) e’ già in vigore ma il 25 maggio 2018 saranno attivate le azioni di verifica da parte degli enti preposti. Riguarderà tutte le aziende che vendono prodotti o erogano servizi a persone che si trovano sul territorio europeo..

Perchè il GDPR

Questo regolamento nasce con l’obiettivo di alzare il grado di protezione e sicurezza nel trattamento dei dati dei propri clienti da parte delle aziende. Si chiede alle imprese di maneggiare con più cura e in maniera più corretta qualsiasi dato riguardante una persona che acquista un prodotto o un servizio. Al fine di proteggere i dati dei propri clienti, le aziende dovranno mettere in pratica una serie di misure tra cui l’obbligo di criptare, i dati personali dei clienti e di allertare, in un lasso di tempo massimo di 72 ore, l’Autorità garante per la protezione dei dati personali, qualora si dovesse ravvisare il rischio di un’avvenuta violazione della privacy.

LE TIPOLOGIE DI DATI

Rispetto alle precedenti normative, il GDPR aggiunge tre nuove tipologie di dati da tutelare che vanno ad aggiungersi al già presente “dato personale”. Si tratta dei “dati genetici” (tutte le informazioni ottenute mediante analisi biologiche, ad. es DNA), “dati biometrici” (ad es. immagine facciale che consente il riconoscimento dell’identità), “dati sulla salute” (ad es. informazioni sanitarie). Ciascuna di queste informazioni, ovviamente, potrà essere raccolta e detenuta solo previo un esplicito consenso del titolare dei dati. Trattandosi di una norma europea, il GDPR costituirà un insieme di regole univoco per tutti gli stati membri, ognuno di questi dovrà costituire un’autorità sovrintendente indipendente.

IL DATA PROTECTION OFFICER

Il Data Protection Officer (il responsabile del trattamento dei dati) è una figura che ciascuna azienda dovrà individuare. Tale profilo avrà il compito di assicurarsi che l’azienda o l’ente stia rispettando i dettami del GDPR, facendo tutto ciò che le viene richiesto per tutelare i dati e la privacy dei propri clienti. Sarà proprio il DPO a dover comunicare all’Autorità garante eventuali “data breaches”, cioè fughe di dati o potenziali violazioni della privacy.

LE SANZIONI

In caso di violazioni, il GDPR inasprisce le sanzioni previste. In particolare, l’apparato sanzionatorio, prevede tre possibili decisioni: – un’ammonizione scritta nel caso vi sia una prima non intenzionale mancanza – accertamenti periodici sulla tutela dei dati – multe fino a 20 milioni di euro o fino a importi pari al 4% del fatturato annuo dell’azienda inadempiente.