Adempimenti GDPR: indicazioni per le Aziende

Con l’entrata in vigore il prossimo 25 maggio 2018 del nuovo Regolamento europeo sulla Privacy prendono corpo i nuovi adempimenti dettati dal GDPR (General Data Protection Regulation): ecco cosa devono fare le Aziende in previsione delle Scadenze.

Saranno soggetti al GDPR i trattamenti di dati personali effettuati da un titolare o da un responsabile con sede nell’Unione Europea, oltre che (elemento di assoluta novità) i trattamenti di dati personali posti in essere da un titolare o da un responsabile non stabilito nell’Unione, qualora essi riguardino l’offerta di beni o servizi o il monitoraggio di comportamenti di interessati che si trovano nel territorio dell’Unione.

Il riferimento normativo è la direttiva UE 679/2016.

Secondo il regolamento Gdpr, gli individui hanno il diritto di richiedere la cancellazione o il trasferimento dei propri dati personali a un’altra organizzazione. Da ciò scaturiscono numerose domande sugli strumenti e sui processi di cui le aziende devono disporre.

È rilevante notare che ora gli obblighi non sono più concentrati esclusivamente sul cliente (“responsabile”), ma ricadono anche su chi vende i servizi (“gestore dell’ordine”).

Per mettere a norma la protezione dei dati in azienda occorre aggiornare alcune parti del contratto – quelle principali – con i propri partner commerciali, ed è necessario che il fornitore di soluzioni e servizi trasmetta al proprio cliente le informazioni trasparenti sulle parti interessate ai cambiamenti. Il GDPR che entrerà in vigore tra pochi mesi introduce il concetto di privacy-by-design, che equivale all’incorporazione di un concetto di protezione costante, dove l’utente ha il pieno controllo sull’utilizzo e su dove fisicamente sono immagazzinati i suoi dati.

Si dovranno definire con precisione le modalità di raccolta, di elaborazione e di conservazione dei dati di geolocalizzazione e degli altri dati personali, differenziando le tutele in base alla singola finalità perseguita.

Le grandi aziende con più di 5.000 dipendenti risultano meglio preparate per gestire la sfida rappresentata dal GDPR, con un 54% di intervistati pienamente consapevole dell’impatto (37% invece per le aziende di piccole dimensioni). Solo due aziende su dieci ricorrono a una consulenza esterna per adeguarsi al regolamento, ma già il 34% di quelle che già dispongono di un processo strutturato in atto si affida a società di consulenza.

Le PMI sotto i 250 dipendenti hanno però meno obblighi rispetto alle grandi imprese, alle pubbliche amministrazioni o ad altri enti: non devono tenere il registro delle attività di trattamento dei dati personali (che contiene informazioni dettagliate sulle policy aziendali in materia di privacy, sulle procedure e sugli standard di sicurezza adottati).

Devono però rispettare le stesse regole sulla protezione dei dati, che devono prevedere:

• pseudonimizzazione e cifratura dei dati;
• capacità di assicurare su base permanente riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento;
• capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
• procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Infine, i dati da utilizzare in caso di contestazione di violazione amministrativa con modalità non immediata, invece, potranno essere conservati al massimo per 90 giorni, ovvero il tempo previsto dalla normativa per notificare un eventuale verbale di contestazione. Al termine del periodo individuato, i dati personali raccolti dovranno essere automaticamente cancellati o anonimizzati.