Con l’entrata in vigore del GDPR cambia l’organizzazione interna e l’approccio aziendale all’elaborazione dei dati personali. Vediamo insieme cosa devono fare le imprese per evitare pesanti sanzioni.

 

GDPR: che cos’è?

Il GDPR (General Data Protection Regulation) è il nuovo Regolamento Generale sulla Protezione dei dati, una normativa approvata nell’aprile 2016 dal Parlamento Europeo.

È la revisione di una legge del 1995 ed entrerà in vigore il 25 maggio 2018, con l’obiettivo di massimizzare la protezione della privacy in un contesto dominato dai big data e dal trattamento automatizzato dei dati, in cui la precedente normativa perde la sua efficacia.

Ma il GDPR mira anche a standardizzare le singole legislazioni europee che finora sono state differenti.

I soggetti interessati dalla legge sono la PA, le pmi e tutte le aziende all’interno dei confini dell’Unione Europea che sono dotate di un sistema di elaborazione di dati personali.

 

GDPR: cosa cambia rispetto al 1995?

Entro il 25 maggio le imprese e gli enti pubblici dovranno ripensare il sistema di gestione del trattamento dei dati, al fine di prevenirne la perdita e impedirne la condivisione non autorizzata.

Questa ridefinizione implica cambiamenti non tanto nella relazione tra azienda e cliente ma piuttosto all’interno dell’organizzazione stessa dell’azienda.

I concetti chiave su cui si basa il GDPR sono quelli di Accountability e Privacy by design.

Cosa significa? Che le imprese coinvolte devono responsabilizzarsi adottando fin dalla fase di progettazione del proprio sistema di elaborazione dei dati metodi che tengano costantemente sotto controllo i rischi che il trattamento può comportare per la tutela degli interessati (Privacy by design). In questa fase occorre anche rispettare l’obbligo di utilizzare formati interoperabili.

Ad ogni modo, per qualsiasi dubbio su possibili rischi, i titolari delle aziende possono consultare l’Autorità nazionale di protezione dei dati.

Per quanto riguarda l’organizzazione interna dell’impresa, il GDPR prevede l’obbligo di istituire una nuova figura, quella del Responsabile della protezione dei dati (una sorta di consulente con il compito di vigilare sui processi interni all’azienda), e di attuare un piano di formazione in modo che chiunque debba accedere ai dati degli utenti sappia come comportarsi ed entro quali limiti possa farlo.

Parliamo ora dell’informativa agli interessati.

Il nuovo regolamento decreta che la richiesta di consenso sottoposta all’utente debba essere “intellegibile e facilmente accessibile”. Tale richiesta deve cioè includere una dichiarazione esplicita sull’uso che il titolare ha intenzione di fare dei dati, il periodo di conservazione e l’eventuale intenzione di trasferirli a un paese terzo.

Lato utente, gli interessati hanno il diritto di chiedere informazioni sul trattamento dei dati e il diritto alla cancellazione.

Un altro punto fondamentale su cui si sofferma il Nuovo Regolamento Generale sulla Protezione dei dati è il data breach: qualora si verifichi una violazione della privacy, il titolare del trattamento ha l’obbligo di notificare l’avvenuta violazione entro 72 ore all’Autorità nazionale di riferimento, e in alcuni casi anche all’utente.

 

Quali rischi corrono le aziende che non si adeguano?

Prima di parlare dei rischi va detto che le aziende, soprattutto quelle legate al settore marketing, piuttosto che farsi intimorire dalle nuove restrizioni, dovrebbero valutare le opportunità offerte dal GDPR.

Non solo trasparenza, sicurezza e interoperabilità, ma anche stimoli a cercare nuovi modelli comunicativi.

Certo, alle imprese conviene attivarsi fin da subito con la revisione dei propri sistemi di trattamento dei dati, in modo che abbiano il tempo per valutare la soluzione migliore per intervenire.

Per chi non si adegua in tempo, le sanzioni non saranno trascurabili: la nuova legge prevede multe fino al 4% del fatturato globale annuo o una sanzione di 20 milioni di euro (a seconda di quale sia la cifra maggiore tra le due).

Il consiglio è quindi quello di iniziare immediatamente, ma senza ansia, a documentarsi sui dettagli del regolamento e valutare la modalità più conveniente per riorganizzare il proprio sistema.

Noi di Bewe ci stiamo già pensando. Nel prossimo articolo condivideremo con voi alcuni possibili scenari sul mondo delle aziende dopo il GDPR. Stay tuned!