Regolamento privacy - GDPR

Il Regolamento Generale sulla protezione dei dati (GDPR – General Data Protection Regulation) entrerà in vigore il 25 maggio 2018 in tutti i Paesi membri dell’Unione Europea. Il Regolamento impone obblighi stringenti sul trattamento e la gestione dei dati dei cittadini europei ed armonizzerà le normative nazionali in materia di trattamento dei dati. Avrà un impatto sulle organizzazioni, pubbliche e private, che abbiano sede nell’Unione Europea o elaborino dati di cittadini di uno Stato membro.

Le principali novità del Regolamento riguardano:

• l’estensione del perimetro del dato;
• l’obbligatorietà dell’introduzione di valutazioni di impatto del rischio sulla privacy;
• la previsione della figura del DPO (Data Protection Officer);
• l’obbligo di notifica e l’introduzione di sanzioni, in caso di violazioni dei dati.

Il concetto stesso di dato è stato ripensato con l’obiettivo di ampliarne il perimetro e includere altre categorie di informazioni. I dati genetici, biometrici e di salute sono ora esplicitamente indicati, al pari di quelli economici, sociali e culturali, tra gli elementi che definiscono l’individuo in quanto tale.

Per le aziende, che elaborano dati ad alta sensibilità o utilizzano nuove tecnologie o dati considerati ad alto rischio per i diritti e la libertà della persona, diventa obbligatoria l’introduzione di una Privacy Impact Analisys. 

Il GDPR affida inoltre la responsabilità del trattamento dei dati al DPO (Data Protection Officer), imponendone la nomina per le aziende che hanno come core business l’elaborazione dei dati.

Le aziende che dovessero subire data breach, dovranno notificare la violazione dei dati all’autorità garante della privacy entro 72 ore, salvo dimostrabili condizioni eccezionali, e nel più breve tempo possibile tutti gli individui affetti in caso di violazione ad alto rischio. Il “data controller”, ossia il Titolare del trattamento, è la figura aziendale incaricata della notifica, che sarà obbligatoria ad esclusione di casi nei quali sia improbabile il rischio per i diritti e le libertà degli individui coinvolti. Il sistema di sanzioni prevedrà per le aziende colpite da data breach, multe fino a 20 milioni di euro o al 4% del fatturato globale.

Altri punti del Regolamento comunitario riguardano la semplificazione della relazione con il Garante della Privacy - per le aziende con sedi in più paesi dell’UE - ed il superamento del silenzio assenso, a favore di un consenso espresso in modo chiaro.

Il nuovo Regolamento Generale per la protezione dei dati è, secondo l’Unione Europa, una grande opportunità per aumentare la fiducia delle persone nel trattamento dei dati e dare slancio all’economia digitale, all’utilizzo dei big data e all’innovazione.

Certiquality propone 4 servizi inerenti alla pubblicazione del nuovo GDPR:

1) Audit di conformità/certificazione per le Aziende. Il Regolamento prevede espressamente le certificazioni di parte terza come garanzia dello stato di conformità dell'impresa, atto di diligenza verso le parti interessate e opportune per un miglioramento continuo della gestione dei dati nelle imprese.
2) Formazione sul Nuovo Regolamento
3) Certificazione delle competenze per il ruolo di Data Protection Officer (DPO)
4) Certificazione secondo la norma BS 10012:2017 - Data protection – Specification for a personal information management system