GDPR 2018 - General Data Protection Regulation

Il GDPR - General Data Protection Regulation nasce con l'obiettivo di proteggere la privacy dei dati dei cittadini europei ridefinendo l'approccio delle aziende a riguardo. il regolamento include disposizione per la tracciabilità e la governance dei dati e prevede che le aziende sappiano dimostrare la gestione corretta di tali dati.
Il GDPR prevede che , a partire dal 25 maggio 2018, possono essere applicate le sanzioni alle aziende che non sono conformi.

A chi si rivolge:
a tutte le imprese che trattano dati personali di soggetti residenti nell'Unione Europea (indipendentemente dalla loro localizzazione geografica).

Sanzioni previste
fino al 4% del fatturato globale annuo o fino a 20 milioni di euro.

Dati personali
Tutti i dati che consentono l'identificazione di una persona (nome, cognome, codice fiscale, immagine, voce, impronta digitale, traffico telefonico) compresi identificatori online, quali ad esempio numeri IP, cookie e dati di geolocalizzazione.

Categorie particolari di dati
Una serie di categorie particolari di dati tra cui quelle relative alla salute, alle opinioni politiche, dati genetici e biometrici.

Titolare del trattamento
Una persona fisica o giuridica che determina le finalità o le modalità del trattamento dei dati personali ed è responsabile giuridicamente dell'ottemperanza degli obblighi previsti dalla normativa.

Responsabile del trattamento
Una persona fisica o giuridica che tratta i dati personali per conto del titolare del trattamento

Obbligo di notifica
Le aziende hanno l'obbligo di notificare la violazione dei dati personali all'autorità di controllo competente entro 72 ore dall'identificazione di tale avvenimento.

Privacy by design
Ogni nuovo servizio o processo aziendale che utilizza i dati personali deve prenderne in considerazione la protezione.

Privacy by default
Quando un cliente acquista un nuovo prodotto o servizio devono essere applicate automaticamente le impostazioni di privacy più rigorose.

Gli utenti hanno il diritto di:
  • essere chiaramente informati sui motivi che richiedono la comunicazione dei loro dati e sulle relative modalità di utilizzo.
  • accedere gratuitamente a tutti i dati raccolti e trasferire liberamente i loro dati personali ad altri fornitori di servizi (portabilità)
  • richiedere la modifica, la cancellazione o la rimozione  dei dati con la stessa facilità con cui ne hanno espresso il consenso al trattamento.
  • essere informati nel caso di una violazione dei propri dati personali
  • avere maggiori garanzie sull'applicazione delle norme e soprattutto sul trasferimento dei dati al di fuori dell'UE
Le aziende devono dimostrare
  • di avere ricevuto un consenso esplicito per tutti i dati personali raccolti
  • di utilizzare i dati personali dei clienti in modo trasparente ed adeguato
  • di proteggere i dati personali dalla distruzione accidentale o illegale, dalla perdita, dalla modifica, dall'accesso o dalla divulgazione non autorizzati
  • di essersi adeguate alla normativa tramite misure di data governance che includono documentazione dettagliata, registrazione e valutazione continua del rischio.