General Data Protection Regulation
24 Maggio 2016
Il 24 Maggio 2016 è entrato in vigore il nuovo regolamento sulla protezione dei dati, il cosiddetto GDPR. Si tratta del Regolamento UE 2016/679 (General Data Protection Regulation, in breve GDPR)
25 maggio 2018
Il giorno 25 maggio 2018 il regolamento è diventato operativo, pertanto a partire da questa data devono essere adottate tutte le misure per essere conformi alla nuova normativa
“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, […]mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”
Tratto dall’articolo 32 del GDPR
A cosa serve il nuovo GDPR?
Il legislatore ha voluto dare regole chiare e uniche per tutti gli stati dell’UE. Ma il regolamento va oltre perché impone di trattare (e proteggere) i dati come si fa nella UE anche per società esterne all’UE ma che trattano dati e/o vendono beni e/o servizi a soggetti che si trovano all’interno della UE.
Qual è l’obiettivo?
L’obiettivo finale di questo regolamento è accrescere la fiducia del cittadino nel consegnare i propri dati avendo la certezza che verranno trattati in maniera conforme al regolamento da tutti i paesi dell’UE.
Cosa cambia?
Per le aziende cambia la visione generale del dato: si passa da obblighi e adempimenti relativi alla privacy a una vera e propria gestione della “privacy” stessa e dei rischi che il trattamento dei dati comporta, il che significa che occorre fare un’analisi sull’impatto che il trattamento comporta e dei rischi e poi intraprendere opportune misure per mitigare questi rischi.
La differenza con il vecchio Decreto Legislativo
A differenza del vecchio Decreto Legislativo 196/2003 (Codice in materia di protezione dei dati personali) dove venivano dettate le linee guida con una vera e propria lista di “misure minime da adottare” nel GDPR non vi è evidenza di un elenco specifico di misure da adottare ma sarà il titolare del trattamento a decidere come gestire e trattare i dati, a valutarne i rischi, mettendo in atto le misure per minimizzare questi rischi, e dovrà essere in grado di dimostrare di aver fatto tutto questo.
Valutazione dei rischi e misure per mitigarli
Le misure da mettere in atto per mitigare i rischi sono indissolubilmente legate ad alcuni aspetti che determinano l’esistenza (o meno) dei rischi stessi in quella determinata organizzazione
Tipo di attività
Tipo di dati trattati
Modalità di trattamento
Tuttavia poiché nella maggior parte dei casi il trattamento avviene in formato elettronico, possiamo delineare un insieme di strategie e prodotti trasversali rispetto al tipo di dati trattato e alle modalità di trattamento (vista l’attività dell’azienda).
Richiedi subito una consulenza personalizzata
Per ogni richiesta sraemo lieti di darti i giusto supporto