GDPR

GDPR: cos’è e come prepararsi

Le novità e l’impatto sulle aziende del nuovo Regolamento Generale sulla Protezione dei Dati (GDPR), che entrerà in vigore il 25 maggio 2018 in tutti gli Stati dell’Unione Europea

gdprIl Regolamento Generale sulla Protezione dei Dati (GDPR) entrerà in vigore il 25 maggio 2018 in tutti gli Stati membri dell’Unione Europea. Frutto di diversi anni di lavoro da parte della Commissione Europea, il regolamento è costituito da norme sulla protezione dei dati personali che puntano a due obiettivi principali: dare ai cittadini europei un controllo completo sui propri dati personali e semplificare il quadro normativo per le imprese che gestiscono tali dati. Il GDPR è inteso come uno strumento abilitante del mercato digitale e si inserisce nelle politiche della Commissione Europea per lo sviluppo dell’economia digitale.

Il GDPR sostituisce l’attuale Direttiva 95/46/EC sulla Protezione dei Dati, che risale al 1995. I principi fondamentali in tema di privacy e protezione dei dati sono rimasti invariati, ma il nuovo regolamento tiene conto dei cambiamenti avvenuti negli ultimi anni nel mondo digitale e si applica in tutti gli stati della UE.

Gli aspetti più innovativi del GDPR rispetto alla precedente normativa sono tre: l’extraterritorialità, le sanzioni e il consenso.

Sfoglia il nostro speciale o scarica il Pdf con 46 pagine sul GDPR

GDPR ed extraterritorialità

Le norme del GDPR proteggono i dati dei cittadini europei e si applicano a tutte le società che trattano o gestiscono tali dati, a prescindere dal Paese in cui hanno la sede legale o in cui i dati vengono elaborati. Sono soggette al GDPR le aziende che offrono beni o servizi (a pagamento o meno) o che monitorano il comportamento di individui residenti nella UE.

Le sanzioni nel GDPR

Il GDPR introduce multe economiche per le aziende che non rispettano il regolamento, che possono ammontare fino al 4 per cento del fatturato annuale globale o a 20 milioni di euro. Un’azienda è passibile di sanzione se, per esempio, non ha policy adeguate per il consenso al trattamento dei dati personali o se viola i principi alla base del concetto di “Privacy by Design” (vedi sotto).

Leggi anche: GDPR: il testo ufficiale in italiano, anche in formato .doc e PDF

Nuove norme sul consenso al trattamento dei dati

Le società che raccolgono o trattano dati personali devono spiegare in modo chiaro agli utenti tutte le condizioni che regolano raccolta e trattamento dei dati. È responsabilità di chi raccoglie/gestisce i dati redigere termini e condizioni in un linguaggio semplice, comprensibile a tutti i cittadini, senza possibilità di equivoco. Gli stessi criteri si applicano per gli strumenti attraverso cui l’utente esprime il proprio consenso. È inoltre obbligatorio dichiarare come verranno elaborati i dati richiesti all’utente.

Il testo completo del GDPR in italiano è disponibile sul sito dell’Unione Europea.

Per approfondire: GDPR: focus sulle norme sul consenso

GDPR: cosa devono sapere le aziende

Il GDPR ridisegna il concetto di privacy introducendo norme specifiche su modalità di trattamento dei dati, diritti dei soggetti interessati, chi è responsabile dei dati, modalità di comunicazione di eventuali violazioni subite, sanzioni per l’infrazione del regolamento.

Per essere conformi al GDPR le aziende devono prepararsi in anticipo, rivendo le proprie policy e, se necessario, adeguandole alle richieste del regolamento. Nel seguito sono illustrati i punti chiave del GDPR, che hanno un impatto operativo sulle società che raccolgono o trattano dati di cittadini europei.

GDPR e notifica delle violazioni

Le aziende hanno l’obbligo di notificare alle autorità competenti e ai soggetti interessati le violazioni di dati che possono mettere a rischio “i diritti e le libertà degli individui”. La notifica deve avvenire entro 72 ore dalla presa d’atto della violazione.

Per approfondire, leggi anche l’articolo GDPR: compliance, rischi e conseguenze in caso di violazione o scarica il white paper Implicazioni dell’obbligo di notifica di violazione dei dati nel GDPR

Il diritto all’accesso ai dati nel GDPR

Le aziende devono garantire agli utenti il diritto di sapere se i loro dati vengono elaborati, dove e a quale scopo. Inoltre, se richiesti, devono fornire i dati personali al soggetto interessato, in modo gratuito e in formato elettronico.

Il diritto all’oblio

Gli utenti hanno diritto alla cancellazione dei propri dati personali. Il diritto si applica quando l’utente non vuole mantenere il consenso al trattamento dei suoi dati e non ci sono ragioni legittime per conservarli.

Per approfondire: Il GDPR tra visibilità, controllo e consenso al trattamento dei dati

Portabilità dei dati

Gli utenti hanno diritto di ricevere i propri dati personali e trasmetterli a un altro ente. Per agevolare il trasferimento, i dati devono essere resi disponibili in un “formato leggibile da una macchina”.

Leggi anche: GDPR: come garantire la conformità per i dati in cloud

Privacy by Design

Il GDPR trasforma in legge un concetto già diffuso, ma considerato solo una best practice. La protezione dei dati deve essere incorporata in prodotti e servizi a partire dalla fase di progettazione degli stessi, e non essere considerata in fasi successive come un elemento aggiuntivo.

Cifratura e pseudonimizzazione

Alle aziende è richiesto di mettere in atto tecniche che garantiscono e tutelano la privacy dei soggetti interessati. Tra queste ci sono la cifratura dei dati, in modo che possano essere letti solo da chi è autorizzato, e la pseudonimizzazione, che consiste nel sostituire campi identificativi in un set di dati con uno o più identificatori artificiali.

Per approfondire: GDPR: le aziende europee sono pronte per la pseudonimizzazione?

Data Protection Officer (Responsabile della protezione dei dati)

Gli enti pubblici e le aziende le cui principali attività implicano “un monitoraggio regolare e sistematico di dati su larga scala” dovranno nominare un Data Protection Officer, che avrà il compito di garantire la conformità dell’azienda al GDPR.

Leggi anche: 5 motivi per cui le aziende hanno bisogno di un Chief Privacy Officer
gdpr

GDPR e printing: anche la stampa dei documenti dev’essere conforme

In vista dell’ormai imminente GDPR, le aziende devono adeguarsi a una corretta gestione del dato anche in ambito printing, ma poche ne sono a conoscenza.
unità USB crittografate

Le unità USB crittografate come componenti chiave per il GDPR

L’uso di unità Flash USB crittografate costituisce un elemento essenziale nella promozione della sicurezza informatica e garantire la conformità al GDPR.
gdpr

GDPR: quasi 9 aziende su dieci non saranno pronte per il 25 maggio

Quando mancano pochi giorni all’entrata in vigore della nuova normativa, l’85% delle aziende fatica a rispettare i termini di conformità al GDPR, ma chi ci riesce potrebbe ottenere grandi benefici.
gdpr

GDPR: il testo ufficiale in italiano (in .DOC e PDF)

Il testo integrale del Regolamento Generale per la Protezione dei Dati (GDPR) così come pubblicato sulla Gazzetta Ufficiale dell'Unione Europa. Contiene le definizioni ufficiali di tutti i termini (trattamento, responsabile, profilazione, consenso, pseudonimizzazione...)
gdpr

5 scenari che potrebbero verificarsi con l’entrata in vigore del GDPR

Trend Micro Italia ipotizza cinque scenari per le aziende che potrebbero verificarsi all’indomani del 25 maggio, quanto il GDPR entrerà in vigore.

GDPR: come gestire la biometria e le altre tecnologie vocali

Una riflessione del CEO di Spitch Alexey Popov sugli aspetti legali dell’utilizzo della biometria e delle altre tecnologie vocali in riferimento all’applicazione del GDPR.
gdpr

GDPR: le preoccupazioni non diminuiscono, ma cresce la consapevolezza

A cinque settimane dalla scadenza per l’adeguamento, secondo un nuovo report di NetApp il GDPR è ancora una preoccupazione per le aziende in Europa e negli USA.
GDPR day milano 11 aprile

Grande successo per il primo appuntamento del GDPR Day 2018

Con un tutto esaurito e contenuti di alto livello si è svolta questa settimana a Milano la prima tappa del GDPR Day 2018. I prossimi appuntamenti a Padova, Roma e Bari

GDPR: WordPress incorporerà strumenti per la conformità

Automattic ha annunciato che un team di sviluppo è al lavoro per integrare nel core strumenti e funzionalità per semplificare agli amministratori dei siti la creazione di privacy policy e procedure per la compliance
cpo

2018 tra MiFID II e GDPR: come affrontare al meglio l’anno delle normative

MiFID II, PSD2, GDPR. Il 2018 è un anno cruciale per le aziende a causa delle molte normative destinate a mutare profondamente il rapporto con i consumatori.
gdpr

L’impatto del GDPR sulla spesa in sicurezza IT in Italia

Secondo IDC il picco della spesa in sicurezza IT trainata dal GDPR avverrà nel 2019, con investimenti che nelle aziende italiane sfioreranno i 230 milioni di dollari.

Computerworld Italia – Speciale GDPR

Un PDF da sfogliare online o scaricare per leggerlo comodamente su pc o tablet, per avere sotto mano e in un unica soluzione le notizie, le analisi e gli approfondimenti su come le aziende devono affrontare l'arrivo del GDPR.
gdpr

GDPR: come procede la corsa delle aziende italiane alla compliance?

L’entrata in vigore del GDPR è sempre più vicina, ma a che punto sono le aziende italiane? Trend Micro cerca di rispondere a questo quesito con una nuova ricerca.

GDPR: compliance, rischi e conseguenze in caso di violazione

Panda Security ricorda l’avvicinarsi dell’entrata in vigore del GDPR, soffermandosi sulle conseguenze nefaste che il mancato rispetto del nuovo regolamento potrebbe avere su un’azienda.
gdpr

Ultima chiamata per il GDPR: cosa fare e come farlo nel modo giusto

Achab ha organizzato ieri a Milano un evento sul GDPR, dando risposte che i gestori di servizi IT cercavano da tempo grazie all’intervento di alcuni esperti in materia.
GDPR Day 2018

GDPR Day 2018: quattro appuntamenti dedicati al nuovo regolamento europeo

Aperta la vendita dei biglietti per il GDPR Day 2018 che si svolgerà a Milano, Padova, Roma e Bari
gdpr

Qualys Cloud Platform aiuta per la compliance al GDPR

Qualys ha presentato Qualys Cloud Platform, piattaforma che assicura ai clienti flussi di lavoro e report dedicati che consentono la visibilità costante degli asset...
gdpr

GDPR: quasi la metà delle imprese italiane teme di non essere pronta

Secondo una ricerca di Senzing il 43% delle imprese italiane si dichiara preoccupata riguardo alla capacità di adempiere alle disposizioni del GDPR.

TeamSystem lancia Agyo Privacy per la compliance al GDPR

Agyo Privacy è la nuova soluzione cloud di TeamSystem per adeguarsi al GDPR e ai cambiamenti che il nuovo regolamento porterà per i Data Protection Officer.
3,937FanLike
0FollowerSegui

DA NON PERDERE

Tutto quello che bisogna sapere su Microsoft 365

A circa un anno dalla presentazione il bundle software Microsoft 365 è diventato sempre più centrale nella visione di Microsoft per le aziende.

Fortinet: i malware si stanno evolvendo in chiave cryptomining

Secondo la nuova edizione del Global Threat Landscape Report di Fortinet, i criminali informatici preferiscono ora sistemi di dirottamento per il cryptomining.

L’intelligenza artificiale in Europa manca di focus strategico

Secondo una nuova ricerca Fujitsu vi è una chiara comprensione dei potenziali vantaggi funzionali dell’intelligenza artificiale e la sua diffusione è in crescita, ma il freno è la mancanza di focus strategico.