GDPR: come gestire la privacy dei cittadini?
I principali temi della normativa GDPR sulla privacy dei cittadini
Il Regolamento Generale sulla Protezione dei Dati (GDPR) entrerà in vigore a partire dal 25 maggio 2018 e sostituisce l’attuale normativa sulla privacy, emanata nel 1995. Il nuovo regolamento tiene conto dei cambiamenti avvenuti con la digitalizzazione e si applica in tutti gli stati dell’Unione Europea.
Tutte le società, che trattano o gestiscono dati personali riferiti a privati cittadini residenti nella comunità europea, sono obbligate a rispettare la nuova normativa che tra l’altro fissa principi rigidi di applicazione tra i quali:
Extraterritorialità
Se una azienda trasferisce i dati dei cittadini europei in un Paese fuori dall’UE, per esempio in America, le organizzazioni o aziende che elaboreranno tali dati dovranno rispettare il GDPR
Sanzioni
Saranno introdotte multe per le aziende che non si adeguano alla normativa, che potranno ammontare fino al 4% del fatturato annuale globale o a 20 milioni di euro. Le aziende verranno sottoposte alle sanzioni se non attuano politiche adeguate per il consenso al trattamento dei dati personali o se violano i principi della “Privacy by Design”.
Privacy by Design
Secondo il GDPR, la protezione dei dati deve riguardare la progettazione di tutti i sistemi ma deve riguardare anche i processi aziendali. Questo significa che qualsiasi progetto deve essere realizzato considerando fin dal primo momento, la riservatezza e la protezione dei dati personali.
Consenso
Le società che raccolgono o trattano dati personali devono rendere chiaro e spiegare in modo esplicito agli utenti, tutte le condizioni che regolano la raccolta e trattamento di tali dati ed è inoltre obbligatorio dichiarare come i dati richiesti all’utente verranno elaborati.
Aumento dei diritti per i titolari dei dati
I cittadini potranno esercitare il diritto all’oblio, richiedendo la cancellazione dei propri dati e il diritto di accesso ai database aziendali, ovvero informarsi su chi sta raccogliendo i propri dati personali e per quali fini. Inoltre, su richiesta, l’azienda sarà tenuta a fornire al titolare dei dati entro 30 giorni, una copia in formato elettronico dei dati in suo possesso.
Notifiche di violazione obbligatorie
Le aziende che custodiscono i dati personali, devono comunicare entro 72 ore, sia al cliente, sia al responsabile del trattamento, il verificarsi di violazioni che mettono a rischio i diritti dei titolari dei dati (c.d. Data Breach).
