COSA E’ IL GDPR?

A partire dal 25 maggio 2018 è direttamente applicabile in tutti gli Stati membri il Regolamento Ue 2016/679, ovvero il GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

Il GDPR nasce da esigenze, di certezza giuridica e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.

COSA DEVE FARE L’AZIENDA?

Tra gli obblighi da tenere in considerazione:

• richiesta di consenso in forma chiara (articolo 7),
• l’istituzione di un registro delle attività (articolo 30),
• la notifica delle violazioni entro 72 ore (articolo 33)
• la designazione di un «responsabile protezione dati» (articolo 37),
• regole rigide relativamente ai casi di violazione dei dati.

In caso di “data breach”, ovvero la violazione dei propri dati, scattano obblighi di notifica alle autorità: il titolare deve comunicare l’accaduto «entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche».

Inoltre si va a istitituzionalizzare su scala Ue una figura già accolta da alcune legislazioni: il “data protection officer”, assunto tra i dipendenti dell’azienda o presso una società esterna con il ruolo di vigilare sull’applicazione effettiva della Gdpr da parte del suo titolare.

Ulteriori obblighi che nascono in capo all’azienda e che sono regolamentati dal suddetto Regolamento sono:

• Diritto di accesso (art. 15), ovvero il diritto di ricevere una copia dei dati personali oggetto di trattamento in cui deve essere indicato il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dativerso Paesi terzi.
• Diritto di cancellazione (diritto all’oblio) (art.17) ovvero un diritto alla cancellazione dei propri dati personali, si prevede, infatti, l’obbligo per i titolari (se hanno “reso pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione”

CHE SANZIONI SONO PREVISTE?

Se si viola il regolamento, scattano delle sanzioni. A seconda della gravità dell’infrazione, le multe sono divise in due scaglioni:

• fino a un massimo di 10 milioni di euro, per le imprese, il 2% del fatturato (se superiore);
• fino ad un massimo di 20 milioni o il 4% del turnover, sempre per le aziende e sempre in rapporto al giro d’affari.

La multa più “leggera” (10 milioni o 2% turnover) viene inflitta per la trasgressione di principi come la privacy by design (mancata protezione dei dati fin dalla progettazione) o la carenza di misure adatte a garantire un buon standard di sicurezza. Quella più pesante (20 milioni o 4% del turnover) arriva in caso di violazione dei principi fondamentali, come la negazione del diritto all’oblio o l’opacità nella richiesta di consenso dei dati.

COSA FACCIAMO NOI

Attraverso i nostri consulenti siamo in grado di fornirvi un servizio a 360° che parte dall’analisi dell’azienda fino alla redazione finale dei documenti necessari per essere in regola con la nuova normativa.