GDPR è l’acronimo di General Data Protection Regulation ovvero il Regolamento generale sulla protezione dei dati nell’Unione Europea: ha l’ambizione di rafforzare e unificare la normativa sulla protezione dei dati personali entro i confini UE (superando i parziali regolamenti locali) e regola anche il tema dell’esportazione dei dati personali al di fuori dei confini UE.  Il GPDR non è una direttiva, ma un regolamento, per questo non c’è l’obbligo di adattare leggi nazionali locali, perché sia strettamente rispettato, ma permane il vincolo assoluto ad adeguarvisi; è già in vigore e il termine ultimo per mettersi in regola è il 25 maggio 2018.

AMBITI DI AZIONE DEL REGOLAMENTO

La riforma introdotta dal GDRP impatta sostanzialmente in due ambiti introducendo due strumenti legislativi: il regolamento vero e proprio sulla protezione dei dati personali, quindi anche in relazione alla loro elaborazione e alla circolazione dei dati stessi, e in secondo luogo introduce la Direttiva sulla protezione dei dati inerenti alla polizia e alla giustizia penale

Le sanzioni sono: fino a 20 milioni di euro e a 4% del fatturato dell’azienda.

COSA BISOGNA FARE

Mettere in sicurezza i dati aziendali; da un punto di vista prettamente operativo, bisogna accertarsi che i prodotti installati siano coperti dal supporto del produttore e che essi siano sempre aggiornati, altrimenti il rischio di esposizione di dati e informazioni è elevato.

GLI AMBITI DI AZIONE PER LE AZIENDE

Consenso: il consenso all’utilizzo dei dati deve essere informato, valido, esplicito e revocabile.

Accessibilità: è necessario garantire ai cittadini che lo richiedono, accesso ai propri dati conservati nei nostri sistemi. Il che significa che dobbiamo avere il pieno controllo dei sistemi che conservano e gestiscono i dati.

Trasparenza: deve essere possibile mostrare come i dati personali vengono processati e gestiti, ed eventualmente trasferiti. E’ necessario quindi fare un inventario delle informative ed introdurre nuove informazioni come la fonte dei dati e il tempo di conservazione.

Diritto all’oblio: deve essere semplice richiedere la cancellazione dei propri dati dai sistemi.

Notifica di violazione: in caso di criticità si è obbligati a segnalare entro 72 ore all’Autorità Nazionale di Vigilanza (Garante della Privacy) e agli utenti coinvolti. E’ consigliabile quindi avere software sentinella che verifichino e segnalino eventuali attacchi esterni o accessi interni non autorizzati, oltre ad una procedura già pronta per attivare la segnalazione nei tempi richiesti.

 

 

Federalberghi Pisa, ha sottoscritto un accordo con partner IWELL per regolare l’aspetto del GDPR dei propri associati. Contatta IWELL col form presente in questa pagina.

Contatta IWELL