Il GDPR è il Regolamento Generali sulla Protezione dei Dati che entrerà in vigore il 25 maggio 2018.

Tale regolamento introduce nuove regola in merito alla protezione dei dati personali, che saranno valide del tutte le aziende che trattano dati personali e operano all’interno dell’Unione Europea, indipendentemente da quale sia la sede legale dell’azienda.

Il GDPR, noto anche come Regolamento Europeo 2016/679, va a sostituire integralmente la precedente norma, la Direttiva 95/46/EC, che risale al 1995.

Sebbene i principi fondamentali in materia di privacy e trattamento dei dati siano rimasti pressoché invariati, si è reso necessario aggiornare la normativa soprattutto per quanto riguarda il mondo digitale e le nuove tecnologie.

Il GDPR prevede un campo di applicazione più ampio: quando si parla di trattamento dei dati ci si riferisce a qualsiasi azione legata alle modalità di trattamento dei dati personali come la raccolta, la conservazione, l’utilizzo e la distruzione degli stessi.

Esso prevede standard di consenso più elevati e prescrittivi e introduce multe sanzioni economiche sostanziali per le aziende che non rispettano il trattamento.

GDPR: il consenso al trattamento dei dati personali

Le aziende che raccolgono e trattano i dati personali devono spiegare in modo chiaro e comprensibile agli utenti chi è il responsabile del trattamento dei dati, per quale scopo vengono raccolti, come verranno elaborati e come verranno protetti, su che supporto e saranno conservati e per quanto tempo. 

L’informativa deve contenere anche le modalità attraverso le quali l’utente può esercitare il diritto di revoca del consenso e le procedure messe in atto dall’azienda per comunicare un’eventuale violazione dei dati.

Tra le novità introdotte dal GDPR ci sono infatti in diritto all’oblio, ovvero il diritto dell’utente a richiedere la cancellazione dei propri dai qualora decida di ritirare il consenso e l’obbligo, per l’azienda, di notificare sia all’utente che alle autorità competenti le violazioni dei dati che potrebbero mettere a rischio “diritti e libertà degli individui”.

La comunicazione va fatta entro 72 ore dal momento un cui l’azienda ha preso atto della violazione.

La dichiarazione di consenso che l’utente sottoscrive deve essere elaborata in modo chiaro, comprensibile ed esaustivo, senza possibilità di equivoci.

L’azienda deve inoltre essere in grado di fornire gratuitamente all’utente, su richiesta, i dati acquisiti in formato elettronico.

GDPR: quali sono le sanzioni, e quando possono essere applicate

Le sanzioni introdotte dal GDPR sono per le aziende che non rispettano il regolamento possono ammontare fino a 4% del fatturato annuale globale o a 20 milioni di euro.

Le aziende possono incorrere in sanzioni se non hanno adeguato la loro privacy policy alle regole introdotte dal nuovo regolamento o se non hanno progettato il proprio prodotto o servizio in modo conforme alla privacy.

GDPR: cosa devono fare le aziende

Tutte le aziende che si occupano del trattamento dei dati devono adeguare le proprie privacy policy al GDPR e rivedere o creare delle procedure atte a garantire il rispetto di tale regolamento.

Le aziende devono utilizzare tecnologie che garantiscano la privacy dei dati raccolti, come ad esempio codifiche particolari o cifratura.

Gli enti pubblici e le aziende le cui principali attività implicano un monitoraggio regolare e sistematico di dati su larga scala dovranno inoltre nominare un DPO (Data Protection Officer), una figura che avrà il compito di garantire la conformità dell’azienda al GDPR.

I professionisti InEvo sono a disposizione per aiutarvi ad adeguare la vostra azienda al GDPR.