31/08/2017

GDPR: Perchè le aziende devono prepararsi alla nuova privacy


Condividi:


Conosci già il GDPR e le novità che introduce e vuoi scoprire come possiamo aiutarti nel processo di compliance al Nuovo Regolamento sulla privacy? Iscriviti al nostro webinar!

Webinar: verso la compliance al GDPR


Cos'è il GDPR

Il nuovo Regolamento Europeo in materia di privacy, il GDPR (General Data Protection Regulation), stabilisce norme relative alla tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati, tutelando i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali. La normativa, già in vigore dallo scorso 24 maggio 2016, assumerà piena efficacia a partire dal 25 maggio 2018.

Rappresenta un punto di svolta rispetto all’intera materia della data protection, perché la gestione dei dati personali non sarà più solo limitata al dover seguire pedissequamente i requisiti puntuali della norma, ma dovrà diventare un processo aziendale che impatta sull'intera organizzazione delle imprese. La conformità al Regolamento richiede di adottare un sistema di policy, misure organizzative e tecniche che consentano di avere un controllo continuo sulla conformità dell’azienda stessa alla normativa. Qualora ciò non accadesse o anche nel caso si evidenziasse la mancanza della conformità a quanto disposto dal Regolamento, sono previste pesanti sanzioni pecuniarie.

Testo integrale del regolamento.


Le sanzioni

La violazione delle disposizioni, in termini generali, può prevedere sanzioni amministrative pecuniarie fino a 20 milioni di euro, oppure per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore alla predetta cifra. Va tuttavia sottolineato che, in linea con quanto previsto dalla legislazione vigente, l’articolo 58 fornisce alle autorità di controllo l’opportunità di avvalersi di una serie di poteri correttivi. In particolare, tra le altre cose è prevista anche la possibilità di limitare o addirittura vietare un trattamento dei dati. Questo significa che oltre alle sanzioni pecuniarie, un intervento delle autorità di controllo, in virtù dei poteri che gli sono stati conferiti, può avere effetti ancor più importanti, rischiando di arrivare, nelle situazioni più estreme, a compromettere il prosieguo delle attività di un’azienda.


Cosa cambia

E' fondamentale che le aziende identifichino fin da subito le modalità con cui adeguarsi al nuovo Regolamento, evitando così di arrivare impreparate ad affrontare quello che viene considerato come il cambiamento più significativo degli ultimi 20 anni nella storia della protezione dei dati. Le aziende devono rivisitare immediatamente i propri processi interni ponendo priorità e precedenza alla privacy degli utenti. È altresì necessario che le aziende potenzino la comunicazione aziendale interna attraverso programmi di formazione specifica affinché chiunque si trovi in una posizione che implica l’accesso ai dati personali degli utenti sappia correttamente entro quali limiti poter svolgere la propria attività.

Infatti il concetto di privacy by design, un punto cardine del Regolamento, stabilisce il principio per cui le misure di salvaguardia dei dati personali debbano essere pianificate sin dalla progettazione dei processi aziendali, e la quantità di dati e il periodo di tempo di permanenza nei sistemi informativi deve essere limitato allo strettamente necessario per lo svolgimento dei propri obblighi professionali. Inoltre l'accesso alle informazioni deve essere consentito solo a coloro che devono svolgere l’elaborazione.

Viene richiesto alle aziende di mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza commisurato al rischio, e una procedura per verificarne e regolarmente valutarne l'efficacia nel tempo.

L'accountability è un altro punto importante per cui l'azienda deve poter dimostrare, in qualsiasi momento, di aver adottato una metodologia del trattamento in linea con la normativa, ad esempio mediante la mappatura delle operazioni di trattamento in un apposito registro, e che rendano i principi posti dalla nuova disciplina verificabili nei fatti e non più soltanto obblighi giuridici esistenti sulla carta.

Il titolare del trattamento, non appena viene a conoscenza di una avvenuta violazione dei dati personali, deve notificare la violazione stessa al Garante, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.


Verso la compliance

La privacy non è un argomento che si possa liquidare velocemente e mettere a punto tutte le politiche aziendali atte a proteggerla richiede impegno e tempo. IFInet collabora con Axsym per fornire attività di consulenza certificata ai propri clienti, con ingaggio permanente, in conformità alle prescrizioni del Regolamento, per verificare l’implementazione di un adeguato Sistema di Gestione dei dati personali. Il consulente incaricato accompagna le Organizzazioni verso il graduale adeguamento al Regolamento, in vista dell’entrata in pieno vigore.

Per fare piena luce sul GDPR e sull'approccio Axsym alla compliance iscriviti al webinar.

Webinar: verso la compliance al GDPR


<< Indietro