GDPR

GDPR: cos’è e come prepararsi

Le novità e l’impatto sulle aziende del nuovo Regolamento Generale sulla Protezione dei Dati (GDPR), che entrerà in vigore il 25 maggio 2018 in tutti gli Stati dell’Unione Europea

gdprIl Regolamento Generale sulla Protezione dei Dati (GDPR) entrerà in vigore il 25 maggio 2018 in tutti gli Stati membri dell’Unione Europea. Frutto di diversi anni di lavoro da parte della Commissione Europea, il regolamento è costituito da norme sulla protezione dei dati personali che puntano a due obiettivi principali: dare ai cittadini europei un controllo completo sui propri dati personali e semplificare il quadro normativo per le imprese che gestiscono tali dati. Il GDPR è inteso come uno strumento abilitante del mercato digitale e si inserisce nelle politiche della Commissione Europea per lo sviluppo dell’economia digitale.

Il GDPR sostituisce l’attuale Direttiva 95/46/EC sulla Protezione dei Dati, che risale al 1995. I principi fondamentali in tema di privacy e protezione dei dati sono rimasti invariati, ma il nuovo regolamento tiene conto dei cambiamenti avvenuti negli ultimi anni nel mondo digitale e si applica in tutti gli stati della UE.

Gli aspetti più innovativi del GDPR rispetto alla precedente normativa sono tre: l’extraterritorialità, le sanzioni e il consenso.

Sfoglia il nostro speciale o scarica il Pdf con 46 pagine sul GDPR

GDPR ed extraterritorialità

Le norme del GDPR proteggono i dati dei cittadini europei e si applicano a tutte le società che trattano o gestiscono tali dati, a prescindere dal Paese in cui hanno la sede legale o in cui i dati vengono elaborati. Sono soggette al GDPR le aziende che offrono beni o servizi (a pagamento o meno) o che monitorano il comportamento di individui residenti nella UE.

Le sanzioni nel GDPR

Il GDPR introduce multe economiche per le aziende che non rispettano il regolamento, che possono ammontare fino al 4 per cento del fatturato annuale globale o a 20 milioni di euro. Un’azienda è passibile di sanzione se, per esempio, non ha policy adeguate per il consenso al trattamento dei dati personali o se viola i principi alla base del concetto di “Privacy by Design” (vedi sotto).

Leggi anche: GDPR: il testo ufficiale in italiano, anche in formato .doc e PDF

Nuove norme sul consenso al trattamento dei dati

Le società che raccolgono o trattano dati personali devono spiegare in modo chiaro agli utenti tutte le condizioni che regolano raccolta e trattamento dei dati. È responsabilità di chi raccoglie/gestisce i dati redigere termini e condizioni in un linguaggio semplice, comprensibile a tutti i cittadini, senza possibilità di equivoco. Gli stessi criteri si applicano per gli strumenti attraverso cui l’utente esprime il proprio consenso. È inoltre obbligatorio dichiarare come verranno elaborati i dati richiesti all’utente.

Per approfondire: GDPR: focus sulle norme sul consenso

GDPR: cosa devono sapere le aziende

Il GDPR ridisegna il concetto di privacy introducendo norme specifiche su modalità di trattamento dei dati, diritti dei soggetti interessati, chi è responsabile dei dati, modalità di comunicazione di eventuali violazioni subite, sanzioni per l’infrazione del regolamento.

Per essere conformi al GDPR le aziende devono prepararsi in anticipo, rivendo le proprie policy e, se necessario, adeguandole alle richieste del regolamento. Nel seguito sono illustrati i punti chiave del GDPR, che hanno un impatto operativo sulle società che raccolgono o trattano dati di cittadini europei.

GDPR e notifica delle violazioni

Le aziende hanno l’obbligo di notificare alle autorità competenti e ai soggetti interessati le violazioni di dati che possono mettere a rischio “i diritti e le libertà degli individui”. La notifica deve avvenire entro 72 ore dalla presa d’atto della violazione.

Per approfondire, leggi anche l’articolo GDPR: compliance, rischi e conseguenze in caso di violazione o scarica il white paper Implicazioni dell’obbligo di notifica di violazione dei dati nel GDPR

Il diritto all’accesso ai dati nel GDPR

Le aziende devono garantire agli utenti il diritto di sapere se i loro dati vengono elaborati, dove e a quale scopo. Inoltre, se richiesti, devono fornire i dati personali al soggetto interessato, in modo gratuito e in formato elettronico.

Il diritto all’oblio

Gli utenti hanno diritto alla cancellazione dei propri dati personali. Il diritto si applica quando l’utente non vuole mantenere il consenso al trattamento dei suoi dati e non ci sono ragioni legittime per conservarli.

Per approfondire: Il GDPR tra visibilità, controllo e consenso al trattamento dei dati

Portabilità dei dati

Gli utenti hanno diritto di ricevere i propri dati personali e trasmetterli a un altro ente. Per agevolare il trasferimento, i dati devono essere resi disponibili in un “formato leggibile da una macchina”.

Leggi anche: GDPR: come garantire la conformità per i dati in cloud

Privacy by Design

Il GDPR trasforma in legge un concetto già diffuso, ma considerato solo una best practice. La protezione dei dati deve essere incorporata in prodotti e servizi a partire dalla fase di progettazione degli stessi, e non essere considerata in fasi successive come un elemento aggiuntivo.

Cifratura e pseudonimizzazione

Alle aziende è richiesto di mettere in atto tecniche che garantiscono e tutelano la privacy dei soggetti interessati. Tra queste ci sono la cifratura dei dati, in modo che possano essere letti solo da chi è autorizzato, e la pseudonimizzazione, che consiste nel sostituire campi identificativi in un set di dati con uno o più identificatori artificiali.

Per approfondire: GDPR: le aziende europee sono pronte per la pseudonimizzazione?

Data Protection Officer (Responsabile della protezione dei dati)

Gli enti pubblici e le aziende le cui principali attività implicano “un monitoraggio regolare e sistematico di dati su larga scala” dovranno nominare un Data Protection Officer, che avrà il compito di garantire la conformità dell’azienda al GDPR.

Leggi anche: 5 motivi per cui le aziende hanno bisogno di un Chief Privacy Officer
gdpr

Solo 3 aziende su 10 sono in linea con i requisiti del GDPR

Un nuovo report di Capgemini ha evidenziato che appena il 28% delle aziende intervistate è riuscito a soddisfare pienamente quanto richiesto dal GDPR.
gdpr

GDPR un anno dopo: i consigli di Fortinet alle aziende

In occasione del primo compleanno del GDPR, Fortinet ha condiviso alcuni consigli che possono essere utili alle aziende per proteggere le informazioni di identificazione personale degli utenti.

GDPR, bilancio di un anno: le soluzioni per la compliance quotidiana

Sono cominciati a maggio 2019 i controlli sistematici del rispetto del GDPR. Ecco quali articoli del regolamento fanno riferimento all’uso di tecnologie e le risposte che il cloud può assicurare.
gdpr

GDPR un anno dopo: cos’è cambiato davvero in 12 mesi?

Gabriele Zanoni, Consulting Systems Engineer di FireEye, riflette su cosa sia davvero cambiato per aziende e utenti a 12 mesi dall’introduzione del GDPR.

Gli strumenti per gestire dati personali in modo conforme al GDPR

Questo white paper mostra l'impatto positivo per il business che il GDPR ha avuto sulle aziende virtuose e presenta la soluzione BooleBox di CloudItalia per l’archiviazione e la condivisione di dati personali in modo sicuro.
perdita dei dati

GDPR: da Axitea arriva il servizio DPO as a Service

Il servizio di DPO as a Service di Axitea consiste nella possibilità da parte di aziende e amministrazioni pubbliche di individuare un Data Protection Officer.
gdpr

GDPR: quando la salvaguardia della privacy aiuta il business

Lo studio Data Privacy Benchmark 2019 di Cisco evidenzia importanti benefici per le aziende che hanno investito per salvaguardare la privacy delle informazioni dopo l’entrata in vigore del GDPR.
google multa gdpr

Multa a Google: è la prima azienda che ha violato il GDPR

Il gigante di Mountain View ha ricevuto una sanzione da 50 milioni di euro dal garante francese per la privacy dei dati CNIL per errori di conformità rispetto al GDPR

Dietro ogni cloud c’è un data center

Quanto è davvero affidabile l’infrastruttura a cui affidiamo i dati aziendali più preziosi? I criteri tecnici, economici ed etici con cui valutare i fornitori cloud
gdpr

GDPR: ecco come sono cambiate le abitudini dei lavoratori

Da un’indagine sul GDPR commissionata da Citrix Italia all’istituto di ricerca OnePoll emerge quale sia la percezione della nuova normativa sulla privacy nel nostro Paese.
gdpr

GDPR e cookies: ancora molte aziende non adeguate

La compliance di un sito web al GDPR richiede molta attenzione e l'integrazione di competenze sia tecniche che normative, con un occhio di riguardo ai cookies.
gdpr

GDPR e compliance: i consigli di Citrix e MyDPO

A quasi quattro mesi dall’entrata in vigore del GDPR, il lavoro da parte delle aziende per completare il processo di adeguamento è in pieno svolgimento. Ecco alcuni consigli su come affrontarlo al meglio.
gdpr

Cloud e GDPR: le risposte ai dubbi delle PMI

Il nuovo regolamento europeo per la privacy pone le PMI in una posizione delicata, che le obbliga a scegliere partner affidabili per l’hosting e i servizi cloud
gdpr

Il tuo multifunzione è in regola col GDPR?

Le responsabilità dell’azienda sui dati personali che gestisce non si limitano alla messa in sicurezza dei sistemi centrali, ma si estendono ai dati che transitano o vengono memorizzati su ogni dispositivo, e anche a quelli stampati su carta
gdpr

GDPR: secondo SGBox la strada per la compliance è ancora lunga

A un mese dall’entrata in vigore del regolamento europeo poche aziende sono in regola con le richieste del legislatore e i tempi per un’implementazione puntuale e capillare saranno piuttosto lunghi.
gdpr

GDPR come vantaggio competitivo? È ancora presto per dirlo

La conformità al GDPR è percepita come un vantaggio competitivo, ma le aziende non sono ancora pronte nonostante la scadenza sia già passata.
adempimenti GDPR da Avaya

Da Avaya strumenti dedicati per aiutare i clienti a svolgere gli adempimenti GDPR

Il progetto elaborato da Avaya, tramite diverse funzioni che le singole aziende possono usare per ottemperare al GDPR, aiuta i clienti a proteggere i propri dati personali.
gdpr

GDPR e risorse umane: cinque cose da sapere

Ecco come il GDPR si appresta a trasformare i dipartimenti di risorse umane tra consenso, terze parti, accesso ai dati e comunicazioni sulla sicurezza.
gdpr

GDPR e printing: anche la stampa dei documenti dev’essere conforme

In vista dell’ormai imminente GDPR, le aziende devono adeguarsi a una corretta gestione del dato anche in ambito printing, ma poche ne sono a conoscenza.
4,059FansMi piace
1,911FollowerSegui

BrandPost (info)

DA NON PERDERE

Cloudera Viscontino Franzini Violi

Cloudera: “L’ecosistema di partner italiano è best practice in Europa”

Il management italiano spiega le strategie in vista dell’imminente lancio di Cloudera Data Platform for Public Cloud
windows 10

Windows 10: il pericolo confusione è dietro l’angolo

Quante versioni di Windows 10 ci sono al momento, con che frequenza vengono aggiornate e per quanto tempo Microsoft le supporterà? C’è quasi bisogno di un foglio Excel per tenere traccia di tutto e questo può diventare un problema.
it aziendale

CIO: quando business e leadership sono più importanti dell’IT

Una ricerca globale di ServiceNow svela come i CIO che hanno più successo oggi siano quelli che coltivano relazioni con i C-suite, si focalizzano sui clienti e digitalizzano i flussi di lavoro.