Cos’è il GDPR e quali obblighi e adempimenti comporta per le aziende?

Scopriamo le novità introdotte dal Regolamento Generale sulla Protezione dei Dati (GDPR) ed il loro impatto sulle imprese.

Il Regolamento UE 2016/679 (General Data Protection Regulation), noto anche come Regolamento Generale sulla Protezione dei Dati (GDPR), diventato attuativo il 25 maggio 2018, è posto a presidio della protezione delle persone fisiche con specifico riguardo al trattamento e alla libera circolazione dei dati personali. La norma, vincolante per tutti gli Stati membri dell’Unione Europea, è frutto di diversi anni di lavoro da parte della Commissione Europea che ha inteso concretizzare due principali obiettivi, considerati di primario interesse: consentire ai cittadini degli Stati membri un controllo più penetrante sui propri dati personali e semplificare il quadro normativo di riferimento per tutte le imprese che gestiscono tali dati.

Cos’è il GDPR e quali sono le novità in tema di privacy?

Il GDPR, strumento proprio delle politiche della Commissione Europea per lo sviluppo dell’economia digitale, ha sostituito la precedente Direttiva 95/46/EC sulla Protezione dei Dati, risalente al 1995. Rispetto alla precedente disciplina, i principi fondamentali in tema di privacy e protezione dei dati sono rimasti invariati, ma il nuovo regolamento ha recepito i profondi cambiamenti avvenuti negli ultimi anni nel mondo digitale e presenta aspetti di grande innovazione rispetto alla vecchia Direttiva.

L’extraterritorialità

La scelta di adottare un Regolamento ha consentito di dotare l’Unione Europea di una base normativa in grado di tutelare i diritti degli individui in modo uniforme. Le norme del GDPR proteggono i dati dei cittadini europei e quindi si applicano a tutte le società che trattano o gestiscono tali dati, a prescindere dal Paese in cui hanno la sede legale o in cui i dati vengono elaborati.

Il sistema sanzionatorio

Il sistema delle sanzioni è graduato in base alla gravità delle violazioni accertate e prevede sanzioni pecuniarie fino a 20 milioni di Euro (o fino al 4% del fatturato annuo) per le violazioni più gravi, quali ad esempio il trattamento illecito di particolari categorie di dati, la profilazione illecita ed il mancato rispetto di specifici provvedimenti dell’Autorità per la Protezione dei Dati Personali.

Per quello che riguarda le sanzioni penali, il GDPR ha stabilito che fosse ogni singolo Stato Membro a dotarsi di una propria disciplina: l’Italia ha deciso di mantenere le sanzioni penali già presenti nel rinnovato Codice della Privacy del 2003.

Il consenso

Le società che raccolgono o trattano dati personali devono spiegare in modo chiaro agli utenti tutte le condizioni che regolano raccolta e trattamento dei dati. È responsabilità di chi raccoglie e gestisce i dati redigere termini e condizioni in un linguaggio semplice, comprensibile a tutti i cittadini, senza possibilità di equivoco. Gli stessi criteri si applicano per gli strumenti attraverso cui l’utente esprime il proprio consenso. È inoltre obbligatorio dichiarare come verranno elaborati i dati richiesti all’utente.

La stessa Commissione Europea ha chiarito che alla base della nascita del GDPR vi sono precise esigenze di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.

D’altra parte, i nuovi modelli di crescita economica, l’esponenziale evoluzione digitale e le sfide ad essa conseguenti, hanno imposto la necessità di fornire una risposta urgente in termini di disciplina che tenesse in debito conto le esigenze di tutela dei dati personali, sempre più avvertite da parte dei cittadini della Comunità europea. 

Cosa cambia nel regolamento generale sulla protezione dei dati? Come ci si adegua alla normativa?

Per comprendere i confini del panorama normativo su questo argomento, è necessario sapere che il 19 settembre 2018 è entrato in vigore il D.Lgs. 10 agosto 2018, n. 101 che ha introdotto disposizioni per l’adeguamento della normativa nazionale italiana (D.Lgs. 196/2003) alle disposizioni del GDPR.  Oltre a recepire le disposizioni del GDPR, il D.Lgs. 101/2018 ha armonizzato le norme del Codice in materia di protezione dei dati personali (D.Lgs. 196/2003) con quelle introdotte dal Regolamento Europeo 2016/679 ed ha regolamentato alcuni aspetti sui quali possono legiferare i singoli stati, tra cui la possibilità di introdurre illeciti penali accanto alle sanzioni pecuniarie già previste dal GDPR.

In questo scenario, viene ripensato il concetto di privacy introducendo norme specifiche su modalità di trattamento dei dati, diritti dei soggetti interessati, chi è responsabile dei dati, modalità di comunicazione di eventuali violazioni subite, sanzioni per l’infrazione del GDPR. Le imprese sono quindi chiamate a rivedere la propria compliance aziendale le proprie policy al fine di adeguarle al GDPR e dare attuazione ai suoi principi cardine.

I principali? In sintesi, con il GDPR:

  • sono state previste regole più chiare su informativa e consenso;
  • è stato introdotto il concetto di responsabilizzazionedel titolare (o accountability);
  • è stato introdotto il concetto di “privacy by design” secondo il quale la protezione dei dati deve essere incorporata in prodotti e servizi a partire dalla fase di progettazione degli stessi, e non essere considerata in fasi successive come un elemento aggiuntivo, il concetto di approccio basato sul rischio e adeguatezza delle misure di sicurezza, di valutazione d’impatto e data breach;
  • sono state introdotte regole più stringenti per la nomina di un Responsabile del trattamento (oltre che di eventuali sub-responsabili);
  • è stato previsto che in alcuni casi tassativi divenga obbligatoria la nomina di un Responsabile della protezione dei dati (RDP);
  • è stata ampliata la sfera dei diritti in capo all’interessato;
  • sono stati stabiliti criteri puntuali per il trasferimento dei dati al di fuori dello spazio UE.

Il registro dei trattamenti

Il GDPR impone che le società che trattano dati personali debbano dotarsi e curare la tenuta di un registro in cui documentare una serie di informazioni relative ai trattamenti di dati personali svolti. Questo Registro dei trattamenti rappresenta un documento essenziale da presentare in caso di ispezione, ma non solo: dal punto di vista della compliance aziendale costituisce uno strumento estremamente utile per favorire una maggior efficienza ed organizzazione del lavoro.

Infatti, per predisporre un idoneo registro è necessario mappare correttamente le diverse tipologie di trattamenti di dati personali effettuati all’interno dell’azienda per individuare gli ambiti nei quali vengono svolte le varie attività di trattamento e le loro caratteristiche, come la tipologia di dati trattati, i fornitori coinvolti nello svolgimento delle attività, o la presenza di trasferimenti di dati verso paesi terzi. Si tratta di un’operazione impossibile senza un’indagine capillare sui singoli processi aziendali che offre alle imprese un’occasione per mappare in modo puntuale i propri processi aziendali al fine di eliminare inefficienze e rilevare opportunità di miglioramento nella gestione dei singoli processi.

Per adeguarsi alle novità normative introdotte dal GDPR per le aziende, è indispensabile l’aiuto da parte di un professionista. Vuoi sapere come mappare i tuoi processi aziendali e iniziare ad adeguare la tua azienda alle nuove normative sulla privacy? 

Contattaci per un primo colloquio dove ti spiegheremo nel dettaglio cosa possiamo fare per te.