Il 25 Maggio 2018 entrerà in vigore il nuovo Regolamento Europeo 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Il GDPR (General Data Protection Regulation) cambia profondamente la prospettiva in cui si colloca il diritto alla protezione dei dati personali: un diritto fondamentale e costituzionale, configurato come diritto alla autodeterminazione informativa.
Cosa cambia per le aziende?
I cambiamenti sono molti, così come i conseguenti obblighi per le imprese, che richiedono adeguamenti dal punto di vista legale e organizzativo.
– INFORMATIVE CHIARE E COMPRENSIBILI: l’informativa e il consenso al trattamento dei dati assumono un ruolo sempre più centrale. Tali informative devono essere elaborate dalle aziende nel modo più chiaro e comprensibile, al fine di potere ottenere un valido consenso.
Ogni individuo ha inoltre il pieno diritto di richiedere alle aziende di tracciare, modificare, cancellare o trasferire i suoi dati personali: le imprese hanno bisogno di strumenti adeguati per dimostrare la rapidità di processamento delle richieste.
– DIGITALIZZAZIONE DEI DATI E TRACCIABILITA’ DEL LORO UTILIZZO: Le aziende sono obbligate a tenere un registro dei trattamenti, che riporti tutte le attività relative al trattamento dei dati svolte dal titolare. I requisiti di tale registro sono elencati all’art. 30 del testo del GDPR. Il registro dovrà essere a disposizione su richiesta dell’autorità di controllo.
– IMPLEMENTAZIONE METODOLOGIE di “privacy by design” per la valutazione del rischio (con l’adozione di comportamenti in grado di assicurare la tutela della privacy sin dall’inizio del processo) e di “privacy by default” (implementazione di strumenti che possano ridurre al minimo il trattamento dei dati).
– NOTIFICA TEMPESTIVA DI EVENTUALI RISCHI SUI DATI. Il Regolamento introduce la necessità di gestire con tempestività eventuali casi di ‘data breach‘, ovvero di “violazioni” da parte di terzi, inviando notifica entro 72 ore alle autorità locali competenti e alle persone interessate.
Le aziende devono dotarsi di misure specifiche atte a garantire la sicurezza dei dati, facendo particolare attenzione ai rischi presentati dal trattamento dei dati riguardo a modifica, perdita, distruzione e divulgazione non autorizzata dei dati personali.
– EVENTUALE NOMINA DPO (Data Protection Officer), figura la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda, il quale deve essere nominato non solo nelle pubbliche amministrazioni, ma anche nelle imprese che richiedono il monitoraggio sistematico di grandi quantità di dati o di dati sensibili.
La soluzione: Software GDPR
Per affrontare in modo completo gli aspetti legati al GDPR, ma non solo, Sinergest ha sviluppato una serie di strumenti dedicati alle aziende.
Scopri tutte le soluzioni del software privacy Sinergest Suite
