Da settimane non si parla d’altro e nel settore ICT è diventato un tema caldo, anzi caldissimo!
Si parla del nuovo GDPR, acronimo di General Data Protection Regulation, che tradotto è il Regolamento Generale per la Protezione dei dati.
Cos’è il GDPR?
Il GDPR è un regolamento attraverso il quale la Commissione Europea intende rafforzare la protezione dei dati personali di cittadini dell’Unione Europea. Se ne parla dal 2016 ed il testo di legge risale infatti ad aAprile di quell’anno, ma sarà ufficialmente in uso a partire dal 25 maggio 2018.
Il regolamento affronta anche il tema dell’esportazione di dati personali al di fuori dell’UE e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall’Unione europea ma che trattano dati di residenti nell’Unione europea) ad adempiere agli obblighi previsti dal regolamento.
I cittadini con questo nuovo regolamento saranno maggiormente tutelati ed i dati personali saranno protetti. Una legge che quindi vale per tutta l’Europa ed anche il nostro paese dovrà adeguarsi.
Qui in Italia il GDPR sostituirà le norme del codice per la protezione dei dati personali (DLgs. 196/2003) con esso incompatibili.
Con l’arrivo del GDPR cosa cambia per le imprese?
Le imprese dovranno adeguarsi e cambiare il modo in cui gestiscono e raccolgono dati dagli utenti che navigano sui loro siti e non solo.
Le novità principali riguardano le regole sul trattamento dei dati personali, che non potrà essere limitato nel tempo ma sarà funzionale al motivo per il quale i dati sono stati raccolti.
Il consenso del consumatore\cliente, inoltre, dovrà essere esplicito e le modalità di utilizzo dei dati dovranno essere spiegate in modo chiaro e semplice.
Sono previste sanzioni per chi non si adeguerà alle nuove regole sulla privacy: potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo.
In caso di “violazione” dei dati da parte di terzi, si dovrà dare tempestiva notifica (entro 72 ore) alle autorità locali competenti e anche le persone interessate dovranno essere avvertite senza ritardo.
Ciò, obbliga le imprese ad implementare adeguati sistemi che possano offrire una tempestiva segnalazione del breach.
Viene anche data grande libertà agli utenti che rilasciano i propri dati: l’interessato ha diritto di conoscere gratuitamente l’esistenza dei dati che lo riguardano, così come il “luogo” in cui sono tenuti, le finalità etc.
E sempre per tutelare l’utente è nato il “diritto all’oblio” inteso come l’obbligo del titolare del trattamento, di cancellare entro pochi giorni i dati personali dell’interessato che faccia richiesta.
Un ulteriore punto cardine del GDPR è quello relativo alla disciplina sull’“esportazione” dei dati fuori dall’Unione Europea.
In generale, il trasferimento dei dati fuori all’Unione Europea è consentito solo in specifici casi ed a determinate condizioni. Vi deve essere infatti un espresso consenso (concesso a seguito di una adeguata informativa), oppure la verifica sulla sussistenza di elevati standard di sicurezza nel Paese terzo.