Manca ormai meno di un anno all’effettiva entrata in vigore del General Data Protection Regulation (GDPR), destinato a sostituire la direttiva sulla protezione dei dati del 1995. Le aziende avranno tempo fino al 25 maggio 2018 per regolarizzarsi, superata questa data le anomalie riscontrate porteranno a sanzioni pecuniarie fino a 20 milioni di euro, o al 4% del fatturato.

Fondamentale è sapere che le norme europee di protezione dei dati saranno applicate a tutte le aziende -con sede interna o esterna all’UE- che gestiscono dati personali di residenti europei e che tali norme saranno valide tanto per i controllori dei dati, quanto per i responsabili degli stessi. Le uniche attività immuni al regolamento saranno quelle autorizzate alla gestione di dati personali per motivi di sicurezza nazionale o di ordine pubblico.

Il GDPR stabilisce che vengano effettuate analisi documentate interne di impatto del rischio, attuate sulla base di infrastrutture e strumenti utilizzati. Per questi ultimi, secondo l’articolo 25, è previsto si applichi il principio “privacy by design e privacy by default”, che impone l’obbligo d’avviare un progetto prevedendo, fin da subito, la strumentazione a tutela dei dati personali.

Le aziende dovranno dimostrare di potersi conformare alle nuove normative, e sarà bene per esse impiegare robusti sistemi di protezione al fine di limitare il più possibile i rischi. Ogni azienda dovrà inoltre nominare un Data Protection Officer per ciascun stabilimento facente parte del proprio organico; individuo dotato di buona conoscenza di sistemi informatici, sicurezza, gestione di cyber attacchi e ulteriori elementi di coerenza aziendale finalizzati al sostentamento e all’elaborazione di dati personali e sensibili. Il GDPR prevede che dinanzi all’autorità si sappia rispondere a domande inerenti la posizione dei dati custoditi, in che modo sono stati tracciati e quale valutazione del rischio è stata fatta. Nell’eventualità in cui si verifichi una violazione dei dati, l’autorità nazionale di vigilanza dovrà essere informata entro 72 ore, e l’azienda titolare del trattamento sarà tenuta a spiegare e documentare come intende agire.

Secondo il nuovo regolamento, ad ogni cittadino UE è fornito facile accesso alle informazioni riguardanti i propri dati personali e alle modalità in cui vengono elaborati e utilizzati. Il regolamento impone inoltre che il consenso al trattamento degli stessi sia valido, esplicito e possa essere revocato. Altra novità introdotta dal GDPR, consiste nel diritto alla cancellazione dei propri dati e alla trasferibilità degli stessi da un sistema d’elaborazione elettronico a un altro, anche al di fuori dell’UE.

 

Marcello Argenti