GDPR

GDPR: cos’è e come prepararsi

Le novità e l’impatto sulle aziende del nuovo Regolamento Generale sulla Protezione dei Dati (GDPR), che entrerà in vigore il 25 maggio 2018 in tutti gli Stati dell’Unione Europea

gdprIl Regolamento Generale sulla Protezione dei Dati (GDPR) entrerà in vigore il 25 maggio 2018 in tutti gli Stati membri dell’Unione Europea. Frutto di diversi anni di lavoro da parte della Commissione Europea, il regolamento è costituito da norme sulla protezione dei dati personali che puntano a due obiettivi principali: dare ai cittadini europei un controllo completo sui propri dati personali e semplificare il quadro normativo per le imprese che gestiscono tali dati. Il GDPR è inteso come uno strumento abilitante del mercato digitale e si inserisce nelle politiche della Commissione Europea per lo sviluppo dell’economia digitale.

Il GDPR sostituisce l’attuale Direttiva 95/46/EC sulla Protezione dei Dati, che risale al 1995. I principi fondamentali in tema di privacy e protezione dei dati sono rimasti invariati, ma il nuovo regolamento tiene conto dei cambiamenti avvenuti negli ultimi anni nel mondo digitale e si applica in tutti gli stati della UE.

Gli aspetti più innovativi del GDPR rispetto alla precedente normativa sono tre: l’extraterritorialità, le sanzioni e il consenso.

Extraterritorialità. Le norme del GDPR proteggono i dati dei cittadini europei e si applicano a tutte le società che trattano o gestiscono tali dati, a prescindere dal Paese in cui hanno la sede legale o in cui i dati vengono elaborati. Sono soggette al GDPR le aziende che offrono beni o servizi (a pagamento o meno) o che monitorano il comportamento di individui residenti nella UE.

Sanzioni. Il GDPR introduce multe economiche per le aziende che non rispettano il regolamento, che possono ammontare fino al 4 per cento del fatturato annuale globale o a 20 milioni di euro. Un’azienda è passibile di sanzione se, per esempio, non ha policy adeguate per il consenso al trattamento dei dati personali o se viola i principi alla base del concetto di “Privacy by Design” (vedi sotto).

Consenso. Le società che raccolgono o trattano dati personali devono spiegare in modo chiaro agli utenti tutte le condizioni che regolano raccolta e trattamento dei dati. E’ responsabilità di chi raccoglie/gestisce i dati redigere termini e condizioni in un linguaggio semplice, comprensibile a tutti i cittadini, senza possibilità di equivoco. Gli stessi criteri si applicano per gli strumenti attraverso cui l’utente esprime il proprio consenso. E’ inoltre obbligatorio dichiarare come verranno elaborati i dati richiesti all’utente.

Il testo completo del GDPR in italiano è disponibile sul sito dell’Unione Europea.

GDPR: cosa devono sapere le aziende

Il GDPR ridisegna il concetto di privacy introducendo norme specifiche su modalità di trattamento dei dati, diritti dei soggetti interessati, chi è responsabile dei dati, modalità di comunicazione di eventuali violazioni subite, sanzioni per l’infrazione del regolamento.

Per essere conformi al GDPR le aziende devono prepararsi in anticipo, rivendo le proprie policy e, se necessario, adeguandole alle richieste del regolamento. Nel seguito sono illustrati i punti chiave del GDPR, che hanno un impatto operativo sulle società che raccolgono o trattano dati di cittadini europei.

Notifica di violazioni. Le aziende hanno l’obbligo di notificare alle autorità competenti e ai soggetti interessati le violazioni di dati che possono mettere a rischio “i diritti e le libertà degli individui”. La notifica deve avvenire entro 72 ore dalla presa d’atto della violazione.

Diritto di accesso. Le aziende devono garantire agli utenti il diritto di sapere se i loro dati vengono elaborati, dove e a quale scopo. Inoltre, se richiesti, devono fornire i dati personali al soggetto interessato, in modo gratuito e in formato elettronico.

Per approfondire: GDPR: focus sulle norme sul consenso

Diritto all’oblio. Gli utenti hanno diritto alla cancellazione dei propri dati personali. Il diritto si applica quando l’utente non vuole mantenere il consenso al trattamento dei suoi dati e non ci sono ragioni legittime per conservarli.

Per approfondire: Il GDPR tra visibilità, controllo e consenso al trattamento dei dati

Portabilità dei dati. Gli utenti hanno diritto di ricevere i propri dati personali e trasmetterli a un altro ente. Per agevolare il trasferimento, i dati devono essere resi disponibili in un “formato leggibile da una macchina”.

Privacy by Design. Il GDPR trasforma in legge un concetto già diffuso, ma considerato solo una best practice. La protezione dei dati deve essere incorporata in prodotti e servizi a partire dalla fase di progettazione degli stessi, e non essere considerata in fasi successive com un elemento aggiuntivo.

Cifratura e pseudonimizzazione. Alle aziende è richiesto di mettere in atto tecniche che garantiscono e tutelano la privacy dei soggetti interessati. Tra queste ci sono la cifratura dei dati, in modo che possano essere letti solo da chi è autorizzato, e la pseudonimizzazione, che consiste nel sostituire campi identificativi in un set di dati con uno o più identificatori artificiali.

Per approfondire: GDPR: le aziende europee sono pronte per la pseudonimizzazione?

Data Protection Officer (Responsabile della protezione dei dati). Gli enti pubblici e le aziende le cui principali attività implicano “un monitoraggio regolare e sistematico di dati su larga scala” dovranno nominare un Data Protection Officer, che avrà il compito di garantire la conformità dell’azienda al GDPR.

gdpr

GDPR: quasi la metà delle imprese italiane teme di non essere pronta

Secondo una ricerca di Senzing il 43% delle imprese italiane si dichiara preoccupata riguardo alla capacità di adempiere alle disposizioni del GDPR.

TeamSystem lancia Agyo Privacy per la compliance al GDPR

Agyo Privacy è la nuova soluzione cloud di TeamSystem per adeguarsi al GDPR e ai cambiamenti che il nuovo regolamento porterà per i Data Protection Officer.
gdpr

Il GDPR sta arrivando: ecco le soluzioni di Equinix

Con la scadenza del GDPR che si avvicina sempre di più, Equinix propone le proprie soluzioni per non farsi trovare impreparati a questo importante appuntamento.
privacy sicurezza protezione dati

Sicurezza e privacy online: utenti sempre più consapevoli, aziende sempre più nel mirino

Secondo il Privacy&Security Report di RSA il 56% degli intervistati italiani evita di fornire dati personali a un'azienda che ha venduto o utilizzato i dati senza consenso
Software gestionale compliance gdpr

Le soluzioni ai problemi del GDPR

Wolters Kluwer Tax & Accounting Italia ha introdotto nelle sue soluzioni software una serie di funzionalità che facilitano l’approccio al GPPR, General Data Protection Regulation,che entrerà in vigore alla fine del prossimo maggio.
gdpr-ready

Il piano di Microsoft per aiutare le aziende a rispettare il GDPR

Secondo un sondaggio di IDC il 43% delle imprese italiane sopra i 10 addetti non ha ancora predisposto un vero e proprio piano per il GDPR.

Sicurezza dei dati nell’era del GDPR: come prepararsi all’inevitabile

Le intrusioni sono inevitabili, ma con pseudonimizzazione e segmentazione è possibile neutralizzare i danni in ottica GDPR. La checklist da consultare per garantire di essere pronti in azienda.
gdpr

Irion: l’EDM è essenziale per affrontare al meglio il GDPR

La software house italiana Irion spiega perché le organizzazioni, per adempiere al GDPR, devono dotarsi di un valido sistema per la gestione del governo dei dati.
gdpr-ready

Cornerstone OnDemand lancia l’iniziativa GDPR-Ready

Il nuovo servizio GDPR-Ready Cornestone OnDemand offre supporto ai clienti che da qui al prossimo 25 maggio dovranno conformarsi al GDPR.
gdpr

GDPR: la consapevolezza c’è, ma la confusione non manca

Una nuova ricerca di Trend Micro sul GDPR mostra come i C-level Executives non si stiano approcciando alla nuova normativa con l’adeguata serietà.
gdpr-ready

SB Italia: quanto sono pronte le aziende italiane per il GDPR?

Un sondaggio di SB Italia sul grado di preparazione delle aziende italiane nei confronti del GDPR mette in luce una situazione con alti e bassi.
gdpr

GDPR: l’impatto globale delle nuove normative in arrivo

Il 70% dei responsabili delle decisioni aziendali afferma che il GDPR farà dell'Unione Europea il leader mondiale nella protezione dei dati.
gdpr-ready

GDPR: come affrontare l’enorme sfida dei dati?

Di chi sono i dati? Quanti sono? Dove si trovano? Le principali sfide che devono affrontare le aziende all’alba del GDPR secondo un'indagine Citrix.
gdpr

Un’azienda su due è impreparata all’appuntamento con il GDPR

La ricerca Working Toward GDPR Compliance realizzata da SAS getta uno sguardo sulla preparazione delle aziende in vista del GDPR.
gdpr

GDPR e trasformazione digitale: binomio vincente… e necessario

Secondo Ricoh Europe la relazione tra GDPR e trasformazione digitale è molto stretta e ciò spingerà le aziende a intraprendere la via dell’innovazione.
gdpr

Le proposte di RSA per farsi trovare pronti al GDPR

RSA estende il portafoglio di Business-Driven Security per aiutare le aziende ad affrontare le sfide legate a GDPR, rischio e compliance.
privacy sicurezza protezione dati

Cyber 4.0 offre una tutela completa contro gli attacchi informatici

La soluzione assicurativa presentata da Mansutti consente alle aziende italiane di prevenire i rischi legati alle violazioni e limitare i danni strutturali e d’immagine
gdpr

GDPR: i belgi sono da bocciare e i britannici da promuovere

Una ricerca di Kaspersky Lab mette in luce un paradosso: i decision maker belgi sono i meno preparati per il GDPR, mentre quelli britannici i più virtuosi.
gdpr

Il GDPR sarà una sfida per il business, non solo per i dati

RSA Security analizza le implicazioni del GDPR e fornisce alcuni consigli su come mitigare il rischio di non rispettare la nuova normativa europea sui dati e privacy.
3,944FanLike
1,779FollowerSegui

DA NON PERDERE

digital customer experience

Come modernizzare il customer service aziendale in cinque mosse

Automatizzazione, lavoro di squadra, IoT, proattività e nuove tecnologie tra i consigli di ServiceNow Italia per modernizzare il customer service.

IDS: cos’è un Intrusion Detection System? Vale ancora la pena averlo?

Un tempo considerato come un elemento base per la sicurezza informatica aziendale, l’IDS rimane un fattore critico nell'impresa moderna, ma forse non più come soluzione autonoma.
gdpr

GDPR: quasi la metà delle imprese italiane teme di non essere pronta

Secondo una ricerca di Senzing il 43% delle imprese italiane si dichiara preoccupata riguardo alla capacità di adempiere alle disposizioni del GDPR.