GDPR

Regolamento generale sulla protezione dei dati (Regolamento UE 2016/679)

Il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679) è un Regolamento con il quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali all’interno dei confini dell’Unione europea (UE). Il testo, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, inizierà ad avere efficacia il 25 maggio 2018. (Fonte: Wikipedia)

Perché il GDPR?

Questa disposizione ha l’obiettivo di rafforzare la protezione dei dati relativi ai cittadini della UE in termini di condivisioni non autorizzate e perdite. Questa normativa sarà valida sia per le aziende della Comunità Europea sia per tutte quelle extra UE che gestiscono dati di cittadini comunitari.

Il rischio sanzionatorio?

La violazione di queste norme comporta ammende molto severe che possono arrivare fino a 20 milioni di € o fino al 4% del fatturato globale se questo supera la cifra sopra citata.

Quale ruolo per le aziende?

Le aziende sono quindi chiamate ad un importante lavoro di adeguamento dei propri sistemi di gestione dei dati all’interno dell’organizzazione, nonché a rivedere i piani di formazione e le procedure interne per i propri dipendenti.

Questa nuova normativa, strutturata per essere longeva nel tempo e al mutare di scenari e tecnologie, prevede un nuovo approccio, basato su un concetto di autovalutazione, un approccio quindi risk-based, questo consente di rendere la normativa maggiormente adeguabile alle varie realtà aziendali, non equiparando contesti e realtà differenti, diventando quindi più equa rispetto ai dati che ogni azienda deve raccogliere e trattare.

È fondamentale che ogni azienda proceda con una valutazione che comprenda:

  • Classificazione dei dati: classificazione per area, per applicativo, per criticità e importanza
  • Valutazione del rischio: Definire una metrica adeguata per valutare correttamente il rischio o affidarsi a uno standard UNI ISO
  • Protezione dei dati: Dotarsi di strumenti informatici e di sicurezza adeguati, e avviare una campagna di formazione, mirata e specifica ai dipendenti

Al fine di poter affrontare correttamente un eventuale controllo da parte degli organi preposti è consigliabile dotarsi di un’adeguata e strutturata documentazione a supporto ed esplicazione delle valutazioni e degli interventi implementati.

Informazioni in rete:

Una buona fonte di informazioni per l’approfondimento di queste tematiche è il garante della privacy: http://www.garanteprivacy.it/regolamentoue

Se hai invece domande, o vuoi una consulenza personalizzata, contattaci direttamente e saremo lieti di aiutarti.