Il GDPR è stato approvato e adottato dal Parlamento Europeo nell’aprile 2016. Il regolamento sarà effettivo dopo due anni di transizione ossia a maggio 2018.

Il GDPR non viene applicato alle sole aziende all’interno dell’Unione Europea, ma riguarda anche le imprese al di fuori dell’UE se offrono beni o servizi o controllano i dati di soggetti all’interno dell’UE. Viene quindi applicato a tutte le imprese che possiedono e processano dati personali di soggetti residenti nell’Unione Europea.

Le imprese possono essere multate fino a 20 milioni di Euro o il 4% del fatturato annuo se non rispettano le disposizioni del GDPR. Questa è l’ammenda massima che può essere imposta per le infrazioni più gravi, ad esempio non avere il consenso del cliente per elaborare dati o violare il concetto di Privacy by Design. Esiste un approccio graduale alle multe, ad esempio una società può essere soggetta a una penale del 2% per non avere i propri documenti in ordine (articolo 28), oppure per non aver avvisato l’autorità di vigilanza e il soggetto interessato circa la violazione dei dati o la mancata valutazione d’impatto della violazione stessa. È importante notare che queste regole si applichino sia ai titolari sia ai responsabili dei dati, il che significa che il cloud non sarà esente dall’applicazione del GDPR.

Si tratta di ogni informazione relativa a una persona fisica o soggetto che può essere utilizzata direttamente o indirettamente per identificare la persona stessa. Può essere qualsiasi cosa, da un nome, a una foto, un indirizzo e-mail, dettagli bancari, post su social network, informazioni mediche o indirizzi IP dei computer.

Il titolare è l’entità che determina le misure, condizioni e mezzi di elaborazioni dei dati personali, mentre il responsabile è l’entità che elabora i dati personali per conto del titolare.

Le condizioni per il consenso sono state rafforzate, in quanto le aziende non saranno più in grado di utilizzare termini e condizioni lunghi, illeggibili e pieni di termini del gergo legale: la richiesta di consenso deve essere data in una forma intelligibile e facilmente accessibile allo scopo di elaborare i dati allegati. Il consenso deve essere chiaro e distinguibile da altre questioni e fornito in maniera facile e intelligibile utilizzando un linguaggio di facile comprensione. Deve essere altrettanto facile ritirare il consenso dato. Si richiede un’esplicita approvazione, c.d. “consenso esplicito”, per l’elaborazione di dati personali sensibili.

In questo caso il consenso del genitore sarà richiesto per l’elaborazione dei dati personali per servizi online; gli Stati Membri possono legiferare per il consenso in caso di minori purché non inferiori ai 13 anni di età.

Un regolamento è un atto legislativo vincolante: esso deve essere applicato nella sua completezza in tutta l’Unione Europea, mentre una direttiva è un atto legislativo che definisce un obiettivo che tutti i paesi dell’UE devono raggiungere. È importante notare che il GDPR è un regolamento, in contrasto alla precedente legislazione che è invece una direttiva.

Il DPO deve essere nominato in caso di: autorità pubbliche; organizzazioni/aziende che effettuano un monitoraggio sistematico su larga scale; organizzazioni/aziende che si occupano del monitoraggio su larga scala di dati personali sensibili (art. 37). Se la tua attività non rientra tra queste categorie allora non sei tenuto a nominare un DPO.

Le regolamentazioni proposte riguardanti le violazioni dei dati riguardano principalmente le politiche di notifica delle aziende che sono state violate. Le violazioni dei dati che possono rappresentare un rischio per gli individui devono essere notificate alla DPA entro 72 ore e agli individui interessati senza indebito ritardo.

Vuoi verificare se effettivamente la tua azienda ha “le carte in regola”?