CHE COSA E' IL GDPR?

La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale.

Il 25 Maggio 2018 è entrato in vigore il regolamento generale sulla protezione dei dati

(GDPR, acronimo di General Data Protection Regulation- Regolamento UE 679/2016).

 

Questo regolamento rafforza e rende più omogenea la protezione dei dati di cittadini/residenti dell’Unione Europea.

Gli obiettivi principali della Commissione europea nel GDPR sono:

  • restituire ai cittadini il controllo dei propri dati personali;
  • semplificare il contesto normativo che riguarda gli affari internazionali unificando e rendendo omogenea la normativa privacy dentro l’UE;
  • regolamentare come le aziende elaborano, memorizzano, gestiscono e distruggono i dati personali degli utenti.

Dal 25 maggio 2018, il GDPR ha sostuituito la direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/EC)

e in parte il Dgls 196/2003 ad altre direttive del Garante della Privacy.

I CAMBIAMENTI

Il nuovo Regolamento, è applicato a tutti i tipi di organizzazioni (enti, aziende, imprese, fondazioni, associazioni) che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione Europea.

AMBITO

hajjar-800x0-c-default

Il regolamento si applica ai dati dei residenti nell’Unione Europea, gestiti da imprese ed enti, organizzazioni in generale, anche con sede legale fuori dall’UE che trattano dati personali di residenti nell’Unione Europea. A prescindere dal luogo o dai luoghi ove sono collocati i dati, analogici (Carta) o digitali (Elettronici) tra cui i sistemi di archiviazione (storage) e di elaborazione (server). Il regolamento disciplina solo il trattamento di dati delle persone fisiche.

DATI

568337771_c753cb12cc

Secondo la Commissione Europea “i dati personali” sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer”.

Oltre al dato personale, troviamo altre classificazioni di dati genetici, biometrici e relativi alla salute, comunque tutte informazioni che consentono l’identificazione univoca o l’autenticazione di una persona fisica.

  • Dato personale: informazioni riguardante persona fisica identificata o identificabile. La novità risiede proprio nel criterio d’identificazione, dove con “identificativo” si intende nome, caratteristiche di tipo fisiche o fisiologiche, identificativo on line.

Dati personali particolari:

  • Dati genetici: ereditati o acquisiti, ottenuti tramite analisi di DNA e RNA da un campione biologico della persona fisica in questione.
  • Dati biometrici: come l’impronta digitale o l’immagine facciale, grazie ai quali è possibile identificare una e una sola persona fisica.
  • Dati sulla salute: sia fisica che mentale, passata, presente o futura, ma anche informazioni su servizi di assistenza sanitaria, laddove presenti, indipendentemente dalla fonte, quale, ad esempio, un medico.
  • Dati sulla sessualità: i dati riguardanti le preferenze sessuali dell’individuo.

RESPONSABILITA'

responsibility

Il principio di responsabilità è legato al concetto di Accountability ovvero un aspetto del controllo di accesso, di ruolo, di controllo delle azioni possibili, che si basa sulla concezione che gli individui siano responsabili delle loro azioni all’interno di un sistema organizzato, sia esso informatico o organizzativo.

Ci devono quindi essere una serie di attività e controlli, organizzati e periodici, come l’audit delle tracce e degli eventi registrati all’interno dell’organizzazione o di un sistema tecnologico, in informatica ad esempio: applicazioni, sistemi e rete. L’audit delle tracce può essere utilizzato per il rilevamento di intrusioni e la consultazione di eventi passati.

OBBLIGHI

privacy

Privacy by design and by Default riguardano il principio di incorporazione della privacy a partire dalla progettazione di un processo aziendale con le relative applicazioni informatiche di supporto. Questo implica la messa in atto di determinati meccanismi i quali garantiscono il trattamento esclusivo di dati personali necessari per quella specifica progettazione. Rappresenta il futuro della privacy in quanto aggiunge un nuovo elemento chiave nella legislazione riguardante la protezione dei dati personali.

FIGURA DEL DPO

businessman-2606506_960_720

Il responsabile DPO, è una persona esperta nella protezione dei dati.

Il suo compito è valutare e organizzare la gestione e la protezione del trattamento di dati personali, all’interno di un’azienda, di un ente o di una associazione, affinché questi siano trattati in modo lecito e pertinente.

L’azienda ha totale responsabilità nella scelta della corretta figura professionale del DPO.

La figura del DPO, può essere interna o esterna all’azienda ma, visto che la normativa ne sottolinea l’indipendenza e la liberta da vincoli e conflitti di interesse, si consiglia una figura esterna.

Il DPO, è una figura con un profilo da AUDITOR, con un’ampia esperienza relativa alla ISO27001 e ISO27002; può essere impersonata da una persona fisica o giuridica, ma è caldamente consigliato scegliere una persona fisica.

VIOLAZIONE DEI DATI CD – DATA BREACH

29723649810_8cb4a06489_b

Il titolare del trattamento dei dati ha l’obbligo legale di rendere note le fughe di dati all’autorità nazionale e di comunicarle entro 72 ore da quando ne è venuto a conoscenza. In alcune situazioni le persone di cui sono stati sottratti i dati dovranno essere avvertite.

SANZIONI

hammer-611589_960_720

Possono essere comminate le seguenti sanzioni:

  • un’ammonizione scritta in casi di una prima mancata osservanza non intenzionale;
  • accertamenti regolari e periodici sulla protezione dei dati;
  • una multa fino a 10 milioni di euro, o fino al 2% del volume d’affari globale registrato nell’anno precedente nei casi previsti dall’Articolo 83, Paragrafo 4 o fino a 20 milioni di euro o fino al 4% del volume d’affari nei casi previsti dai Paragrafi 5 e 6.

TU, A CHE PUNTO SEI CON IL GDPR?

  • null
    Hai bisogno di una consulenza per capire meglio come affrontare i cambiamenti che porterà il GDPR?
    Anthilla è qui per te!
  • null
    Hai bisogno della figura di un DPO esperto e con un’ampia esperienza relativa alla ISO27001 e ISO27002, che possa guidarti nei cambiamenti del nuovo Regolamento?
    Anthilla collabora con dei professionisti del settore:
    AxisNet è qui per te!

COMPILA IL MODULO SOTTOSTANTE

UNO DEI NOSTRI CONSULENTI TI CONTATTERA’ ENTRO 24 ORE.

Messaggio
No
No
No
No