GDPR: cos’è e come prepararsi

Le novità e l’impatto sulle aziende del nuovo Regolamento Generale sulla Protezione dei Dati (GDPR), che entrerà in vigore il 25 maggio 2018 in tutti gli Stati dell’Unione Europea

gdprIl Regolamento Generale sulla Protezione dei Dati (GDPR) entrerà in vigore il 25 maggio 2018 in tutti gli Stati membri dell’Unione Europea. Frutto di diversi anni di lavoro da parte della Commissione Europea, il regolamento è costituito da norme sulla protezione dei dati personali che puntano a due obiettivi principali: dare ai cittadini europei un controllo completo sui propri dati personali e semplificare il quadro normativo per le imprese che gestiscono tali dati. Il GDPR è inteso come uno strumento abilitante del mercato digitale e si inserisce nelle politiche della Commissione Europea per lo sviluppo dell’economia digitale.

Il GDPR sostituisce l’attuale Direttiva 95/46/EC sulla Protezione dei Dati, che risale al 1995. I principi fondamentali in tema di privacy e protezione dei dati sono rimasti invariati, ma il nuovo regolamento tiene conto dei cambiamenti avvenuti negli ultimi anni nel mondo digitale e si applica in tutti gli stati della UE.

Gli aspetti più innovativi del GDPR rispetto alla precedente normativa sono tre: l’extraterritorialità, le sanzioni e il consenso.

Sfoglia il nostro speciale o scarica il Pdf con 46 pagine sul GDPR

GDPR ed extraterritorialità

Le norme del GDPR proteggono i dati dei cittadini europei e si applicano a tutte le società che trattano o gestiscono tali dati, a prescindere dal Paese in cui hanno la sede legale o in cui i dati vengono elaborati. Sono soggette al GDPR le aziende che offrono beni o servizi (a pagamento o meno) o che monitorano il comportamento di individui residenti nella UE.

Le sanzioni nel GDPR

Il GDPR introduce multe economiche per le aziende che non rispettano il regolamento, che possono ammontare fino al 4 per cento del fatturato annuale globale o a 20 milioni di euro. Un’azienda è passibile di sanzione se, per esempio, non ha policy adeguate per il consenso al trattamento dei dati personali o se viola i principi alla base del concetto di “Privacy by Design” (vedi sotto).

Leggi anche: GDPR: il testo ufficiale in italiano, anche in formato .doc e PDF

Nuove norme sul consenso al trattamento dei dati

Le società che raccolgono o trattano dati personali devono spiegare in modo chiaro agli utenti tutte le condizioni che regolano raccolta e trattamento dei dati. È responsabilità di chi raccoglie/gestisce i dati redigere termini e condizioni in un linguaggio semplice, comprensibile a tutti i cittadini, senza possibilità di equivoco. Gli stessi criteri si applicano per gli strumenti attraverso cui l’utente esprime il proprio consenso. È inoltre obbligatorio dichiarare come verranno elaborati i dati richiesti all’utente.

Per approfondire: GDPR: focus sulle norme sul consenso

GDPR: cosa devono sapere le aziende

Il GDPR ridisegna il concetto di privacy introducendo norme specifiche su modalità di trattamento dei dati, diritti dei soggetti interessati, chi è responsabile dei dati, modalità di comunicazione di eventuali violazioni subite, sanzioni per l’infrazione del regolamento.

Per essere conformi al GDPR le aziende devono prepararsi in anticipo, rivendo le proprie policy e, se necessario, adeguandole alle richieste del regolamento. Nel seguito sono illustrati i punti chiave del GDPR, che hanno un impatto operativo sulle società che raccolgono o trattano dati di cittadini europei.

GDPR e notifica delle violazioni

Le aziende hanno l’obbligo di notificare alle autorità competenti e ai soggetti interessati le violazioni di dati che possono mettere a rischio “i diritti e le libertà degli individui”. La notifica deve avvenire entro 72 ore dalla presa d’atto della violazione.

Per approfondire, leggi anche l’articolo GDPR: compliance, rischi e conseguenze in caso di violazione o scarica il white paper Implicazioni dell’obbligo di notifica di violazione dei dati nel GDPR

Il diritto all’accesso ai dati nel GDPR

Le aziende devono garantire agli utenti il diritto di sapere se i loro dati vengono elaborati, dove e a quale scopo. Inoltre, se richiesti, devono fornire i dati personali al soggetto interessato, in modo gratuito e in formato elettronico.

Il diritto all’oblio

Gli utenti hanno diritto alla cancellazione dei propri dati personali. Il diritto si applica quando l’utente non vuole mantenere il consenso al trattamento dei suoi dati e non ci sono ragioni legittime per conservarli.

Per approfondire: Il GDPR tra visibilità, controllo e consenso al trattamento dei dati

Portabilità dei dati

Gli utenti hanno diritto di ricevere i propri dati personali e trasmetterli a un altro ente. Per agevolare il trasferimento, i dati devono essere resi disponibili in un “formato leggibile da una macchina”.

Leggi anche: GDPR: come garantire la conformità per i dati in cloud

Privacy by Design

Il GDPR trasforma in legge un concetto già diffuso, ma considerato solo una best practice. La protezione dei dati deve essere incorporata in prodotti e servizi a partire dalla fase di progettazione degli stessi, e non essere considerata in fasi successive come un elemento aggiuntivo.

Cifratura e pseudonimizzazione

Alle aziende è richiesto di mettere in atto tecniche che garantiscono e tutelano la privacy dei soggetti interessati. Tra queste ci sono la cifratura dei dati, in modo che possano essere letti solo da chi è autorizzato, e la pseudonimizzazione, che consiste nel sostituire campi identificativi in un set di dati con uno o più identificatori artificiali.

Per approfondire: GDPR: le aziende europee sono pronte per la pseudonimizzazione?

Data Protection Officer (Responsabile della protezione dei dati)

Gli enti pubblici e le aziende le cui principali attività implicano “un monitoraggio regolare e sistematico di dati su larga scala” dovranno nominare un Data Protection Officer, che avrà il compito di garantire la conformità dell’azienda al GDPR.

Leggi anche: 5 motivi per cui le aziende hanno bisogno di un Chief Privacy Officer
Qualche progresso per il FSE

Qualche progresso per il FSE

La Corte dei conti racconta il back office della Sanità pubblica. La situazione attuale del Fascicolo Sanitario Elettronico  »

Luigi Ferro // 06.07.2022
Gli USA “giustiziano” un algoritmo illegale: va cancellato

Gli USA “giustiziano” un algoritmo illegale: va cancellato

La Federal Trade Commision americana ordina a Weight Watchers di distruggere un algoritmo addestrato con dati di minorenni raccolti illegalmente.   »

Andrea Grassi // 16.03.2022
Le regole dell’UE su rider e “gig economy”: come si governa l’algoritmo?

Le regole dell’UE su rider e “gig economy”: come si governa l’algoritmo?

I sostenitori della proposta di legge della Commissione Europea discutono su come tutti i lavoratori dovrebbero essere protetti dai sistemi di gestione automatizzati e chiedono alle aziende più trasparenza.  »

Matthew Finnegan // 17.12.2021
App per la salute, forte il rischio privacy

App per la salute, forte il rischio privacy

Tutte le app, ma specialmente quelle legate alla salute, devono garantire la massima privacy, ma sembra che molte applicazioni abbiano parecchie lacune da questo punto di vista  »

Luigi Ferro // 06.07.2021
Tre anni dopo… esiste davvero una conformità al GDPR?

Tre anni dopo… esiste davvero una conformità al GDPR?

Il GDPR ha radicalmente trasformato il modo in cui le aziende gestiscono i dati personali in tutto il mondo, ma l'implementazione di un regolamento così importante e complesso comporta ancora oggi delle sfide da superare.  »

Redazione CWI.it // 02.07.2021
Tavola rotonda VMware: i motivi che frenano l’adozione del cloud

Tavola rotonda VMware: i motivi che frenano l’adozione del cloud

In Europa solo un’azienda su tre utilizza il cloud. Durante la tavola rotonda organizzata da VMware sono stati discussi i motivi che portano a questa frizione.   »

Maria Russo // 22.04.2021
I dati tossici che possono danneggiare brand ed editori

I dati tossici che possono danneggiare brand ed editori

Intervista a Francesca Lerario, Managing Director di Ogury per l'Italia, sui rischi legati all'utilizzo di dati dall'origine incerta e i vantaggi di un marketing basato sul reale consenso degli utenti   »

Andrea Grassi // 08.10.2020
GDPR, Italia prima per sanzioni nel 2020 con 45,6 milioni

GDPR, Italia prima per sanzioni nel 2020 con 45,6 milioni

La cifra in gran parte si riferisce a tre soli provvedimenti, ma fa salire l'Italia al secondo posto assoluto da quando il GDPR è in vigore  »

Daniele Lazzarin // 27.08.2020
Violazione dati INPS, Faggioli (Clusit): “La parola al Garante Privacy”

Violazione dati INPS, Faggioli (Clusit): “La parola al Garante Privacy”

Il presidente dell'Associazione per la Sicurezza Informatica sul data breach: l'INPS rischia sanzione amministrativa, ma in caso di hackeraggio può essere giudicato non responsabile  »

Daniele Lazzarin // 01.04.2020
L’AI per garantire la conformità della privacy: un mercato da 8 mld di dollari

L’AI per garantire la conformità della privacy: un mercato da 8 mld di dollari

Secondo Gartner nei prossimi tre anni oltre il 40% delle tecnologie usate in azienda per rispettare GDPR e altre normative sarà basato sull’intelligenza artificiale  »

Sara Brunelli // 28.02.2020
L’IT Security in Italia vale 1,3 miliardi (+11%), ma il GDPR resta una questione aperta

L’IT Security in Italia vale 1,3 miliardi (+11%), ma il GDPR resta una questione aperta

Sicurezza seconda priorità d’investimento IT, ma il 40% delle grandi imprese non ha una funzione dedicata. Solo il 55% è GDPR compliant: il 15% non ha neanche cominciato. I dati dell'Osservatorio Information Security 2020 del Polimi  »

Daniele Lazzarin // 06.02.2020
GDPR, finora in Italia sanzioni per 11,55 milioni di euro

GDPR, finora in Italia sanzioni per 11,55 milioni di euro

Il nostro paese si colloca al quarto posto in Europa per importo delle multe, e all’undicesimo per numero di data breach notificati al Garante  »

Redazione CWI.it // 20.01.2020
Il 5G necessita di formazione reale

Il 5G necessita di formazione reale

In attesa che si concretizzi perlomeno il piano banda larga, il 5G viene visto come un'opportunità per risolvere i problemi pubblici, aziendali e sociali del Belpaese. Ma sarà così?  »

Leo Sorge // 09.12.2019
GDPR: dopo un anno e mezzo il tasso di conformità rimane basso

GDPR: dopo un anno e mezzo il tasso di conformità rimane basso

Oltre la metà delle aziende intervistate da Talend non è stata in grado di soddisfare le richieste di accesso ai dati e portabilità entro il termine di un mese come richiesto dal GDPR.  »

Francesco Destri // 04.12.2019
Il GDPR sta migliorando la fiducia dei consumatori e la sicurezza dei dati

Il GDPR sta migliorando la fiducia dei consumatori e la sicurezza dei dati

Secondo una recente ricerca commissionata da Check Point, il 75% delle organizzazioni europee ritiene che il GDPR abbia avuto un impatto positivo sulla fiducia dei consumatori e sulla sicurezza dei dati.  »

Francesco Destri // 19.11.2019
Solo 3 aziende su 10 sono in linea con i requisiti del GDPR

Solo 3 aziende su 10 sono in linea con i requisiti del GDPR

Un nuovo report di Capgemini ha evidenziato che appena il 28% delle aziende intervistate è riuscito a soddisfare pienamente quanto richiesto dal GDPR.  »

Francesco Destri // 26.09.2019
GDPR un anno dopo: i consigli di Fortinet alle aziende

GDPR un anno dopo: i consigli di Fortinet alle aziende

In occasione del primo compleanno del GDPR, Fortinet ha condiviso alcuni consigli che possono essere utili alle aziende per proteggere le informazioni di identificazione personale degli utenti.   »

Francesco Destri // 06.06.2019
Pagina 1 di 6
Condividi