Musa Formazione

Quali sono le regole generali di protezione dei dati

PUBBLICATO IL: 18/05/2021   DA: Musa Formazione

Il GDPR, sigla di “General Data Protection Regulation”, è il regolamento europeo su privacy e dati che è diventato operativo dal 25 maggio 2018.

Nonostante siano passati quasi tre anni dalla sua applicazione, tante aziende dimostrano ancora di essere in ritardo sulle proprie azioni di adeguamento

Per questo, questo articolo, vediamo in cosa consiste il GDPR che, se trasgredito, può portare multe fino a un massimo di 20 milioni o del 4% sui ricavi annui.

Cos’è un regolamento?

Il regolamento è uno degli atti legislativi dell’Unione europea, insieme a direttive e decisioni. A differenza di queste ultime, si caratterizza per avere portata generale (vale in tutti i paesi) e applicabilità diretta in tutti i suoi elementi (diventa legge subito, senza dover passare per il recepimento da parte degli Stati membri).

Paesi possono decidere di rivedere la propria legislazione se si creano incompatibilità evidenti con le nuove regole europee. Nel caso dell’Italia, ad esempio, si è abolita la parte generale del vecchio Codice della privacy (a sua volta ispirato a una direttiva risalente al 1995) e si sono diluite le restanti norme in un decreto.

Cosa prevede il GDPR

Il GDPR, è un testo che prova a uniformare le leggi europee sul trattamento dati e il (nostro) diritto a essere in pieno controllo delle informazioni che ci riguardano.

Il regolamento si compone di 99 articoli e istituisce elementi come il diritto all’oblio (gli utenti possono chiedere di rimuovere informazioni a proprio riguardo), la «portabilità» dei dati (si possono scaricare e trasferire dati da una piattaforma all’altra, senza vincolarsi a un certo account) e l’obbligo di notifica in caso di data breach(le aziende, se subiscono fughe di informazioni sensibili, devono comunicarlo entro 72 ore).

I destinatari sono i «titolari del trattamento», ossia chi gestisce le informazioni: privati e, soprattutto, aziende.

L’impatto sulle aziende e i loro obblighi

L’impatto è più ampio di quanto si possa pensare, perché il GDPR riguarda le aziende che gestiscono qualsiasi tipo di dato personale. Dalle informazioni sui propri dipendenti alla profilatura dei clienti per conto terzi, il GDPR coinvolge tutte le aziende che trattano dati.

Ecco gli obblighi principali da tenere in considerazione:

  • una richiesta di consenso in forma chiara (articolo 7);
  • l’istituzione di un registro delle attività (articolo 30), la notifica delle violazioni entro 72 ore (articolo 33);
  • la designazione di un «responsabile protezione dati» (articolo 37).

Per quanto riguarda il consenso, l’azienda deve chiedere il via libera «in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.

Sul fronte del registro di trattamento, si obbligano i titolari a dotarsi di un registro delle attività dove si elencano – tra le altre cose – le finalità dell’elaborazione dei dati, i destinatari, l’eventuale scadenza per la loro cancellazione.

In caso di “data breach”, ossia di violazione dei propri dati, scattano obblighi di notifica alle autorità molto più stringenti: il titolare deve comunicare l’accaduto «entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche».

Infine si va a istituzionalizzare su scala Ue una figura già accolta da alcune legislazioni: il Data Protection Officer (DPO), assunto tra i dipendenti dell’azienda o presso una società esterna con il ruolo di vigilare sull’applicazione effettiva del GDPR da parte del suo titolare.

Le eventuali sanzioni

Se si viola il regolamento, scattano delle multe salate.

A seconda della gravità dell’infrazione, le multe sono divise in due scaglioni: fino a un massimo di 10 milioni di euro o, per le imprese, il 2% del fatturato (se superiore); oppure fino a un massimo di 20 milioni o il 4% del turnover, sempre per le aziende e sempre in rapporto al giro d’affari.
La multa più “leggera” (10 milioni o 2% turnover) viene inflitta per la trasgressione di principi come la “Privacy by Design” (mancata protezione dei dati fin dalla progettazione) o la carenza di misure di sicurezza.

Quella più pesante (20 milioni o 4% del turnover) arriva in caso di violazione dei principi fondamentali, come la negazione del diritto all’oblio o l’opacità nella richiesta di consenso dei dati.

E tu? Vorresti diventare un Data Protection Officer all’interno di un’azienda?

Questa figura è sempre più ricercata e ben remunerata nell’ambito della protezione dei dati personali

Scopri il corso di Privacy Specialist DPO targato Musa Formazione.

Al prossimo articolo del nostro blog!

Musa Formazione

Ti Aiutiamo Noi!

Compila il form e scopri tutti i vantaggi riservati a TE!
Copyright 2021 © IN-Formazione s.r.l.. Tutti i diritti riservati. P. IVA 07252070722