Il regolamento GDPR: scopi e funzioni
Il GDPR, Regolamento generale sulla protezione dei dati, è il quadro normativo di riferimento per il trattamento dei dati personali entrato in vigore con il D. Lgs. 101/2018.
Clicca qui per scaricare il D. Lgs. 101/2018
Nato per tutelare i diritti dei consumatori e degli utenti, stabilisce criteri di sicurezza, riservatezza e tracciabilità, ponendo precisi obblighi per le imprese. Inoltre armonizza le normative europee e regola la cooperazione tra le diverse authority di protezione dei dati.
La sua corretta applicazione è garantita dal Comitato europeo per la protezione dei dati (European Data Protection Board), formato delle autorità competenti per ogni stato membro. Il rappresentante per l’Italia è il garante per la protezione dei dati personali, noto anche come Garante della Privacy.
Quest’organismo si occupa di controllare la conformità legislativa delle varie disposizioni, esaminare le segnalazioni e denunciare eventuali illeciti, suggerire al parlamento possibili sviluppi normativi, informare i cittadini.
Come adeguarsi al regolamento GDPR
Tutte le aziende aventi sede nell’Unione Europea, o la cui attività riguardi cittadini residenti in uno degli stati membri, che raccolgano o trattino dati personali, indipendentemente dalle dimensioni dell’attività e dal settore di attività, sono obbligate a rispettare la normativa GDPR.
Quindi ogni società, in quanto responsabile del trattamento, deve essere in grado di fornire tutte le prove del rispetto della protezione dei dati attraverso la corretta tenuta di un registro delle attività di trattamento, l’adozione di opportuni sistemi di sicurezza, la prova del consenso.
Il registro delle attività di trattamento dei dati
Proprio il GDPR (art. 30, par. 1 e 2) stabilisce che tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento. Questo documento deve contenere tutte le informazioni relative a:
- il responsabile del trattamento e gli altri soggetti che hanno accesso ai dati;
- gli strumenti e i servizi utilizzati per la raccolta, gestione ed elaborazione dei dati
- le categorie di dati trattati, con particolare riferimento ai cosiddetti dati sensibili (origine etnica, salute, orientamento sessuale, ed altri)
- lo scopo della raccolta e la il periodo di conservazione dei dati;
- le misure di sicurezza adottate per la loro conservazione.
La sicurezza dei dati
Il titolare del trattamento ha anche la responsabilità di garantire l’integrità del patrimonio di dati raccolti, custodendoli con cura e riducendo al massimo il rischio di perdita e furto, anche informatico.
Per assolvere a questo obbligo bisogna garantire:
- la crittografia dei dati e la loro accessibilità solo da persone autorizzate;
- una protezione adeguata agli account di tutti gli utenti;
- l’utilizzo di un software antivirus aggiornato periodicamente;
- l’adozione di una procedura efficace di backup e ripristino dei dati.
La prova del consenso e i diritti degli interessati
Un requisito fondamentale per essere in regola con il GDPR è disporre della prova del consenso delle persone di cui si raccolgono i dati. È buona prassi, oltre che un indice di corretta gestione dei trattamenti, tenere un registro dei consensi che documenti le varie fasi della raccolta dei dati.
Questo registro, da esibire al Garante in caso di verifica, è un documento interno che va costantemente aggiornato per iscritto, naturalmente anche in formato elettronico, e deve mostrare la data della sua creazione e dell’ultimo aggiornamento.
Tutte le persone (clienti, visitatori, ed altri) i cui dati sono soggetti al trattamento, hanno pieno diritto a:
- essere pienamente informate in merito a tutti i soggetti, titolare, incaricati della raccolta o terzi che hanno accesso ai loro dati;
- conoscere le finalità del trattamento e la durata della conservazione;
- conoscere facilmente i termini e condizioni del trattamento;
- chiedere ed ottenere la modifica o cancellazione dei propri dati.
Le sanzioni previste dal GDPR
Il GDPR europeo fa strettamente riferimento alle sanzioni amministrative e lascia, per la normativa penale, una certa autonomia ai garanti dei singoli stati. In Italia, le sanzioni disposte dal regolamento UE hanno integrato quanto previsto dalla precedente normativa sulla privacy e sono davvero notevoli.
Per esempio, la multa prevista per l’omessa comunicazione di atti di violazione della sicurezza che hanno comportato la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali, il cosiddetto data breach, può raggiungere i 10 milioni di euro. Nel caso ancora più grave di inosservanza di un’imposizione dell’autorità nazionale della privacy o trasferimento illecito di dati a terzi, la sanzione ammonta fino a 20 milioni di euro.
Invece, le false dichiarazioni al garante, l’acquisizione fraudolenta, la comunicazione o diffusione illecita di dati personali trattati su larga scala, si configurano come reati penali e sono puniti con la reclusione fino a 6 anni. Altri casi prevedono il risarcimento dei danni della parte lesa o l’interdizione dal trattamento dei dati personali.
Il trattamento dei dati personali all’interno della tua azienda è un aspetto da gestire con molta attenzione. Oltre ad essere un obbligo di legge, l’inosservanza anche involontaria della normativa può comportare sanzioni significative, con ripercussioni di tipo economico e di immagine.