Che cosa è il GDPR ?
Maggiore sicurezza per i dati utente
Il GDPR è la risposta dell’Unione Europea al ruolo enormemente esteso che la tecnologia riveste attualmente nella raccolta e gestione dei nostri dati (es. registrazioni a db aziendali). Garantisce che nel processo di raccolta di dati personali sia integrata un’adeguata protezione degli stessi.
A differenza della direttiva 95/46/EC, che è stata trasformata e riadattata in leggi nazionali, il GDPR è una regolamentezione che dovrà essere applicata da tutti gli stati membri per unificare e aumentare la protezione dei dati personali di tutti I cittadini membri degli stati EU.
Il GDPR è stato ratificato nell’ Aprile 2016 e deve essere applicato dale aziende entro il 25 Maggio 2018.
Perchè è importante ?
Aumento dei requisiti
Criteri di sicurezza e privacy più rigorosi, obblighi aggiuntivi e sanzioni per mancata conformità
Maggior impegno per il raggiungimento della conformità
Maggiori rischi associati per la mancata conformità
Articolo 84:
Il GDPR avrà infatti impatti finanziari sulle aziende non conformi
Multe massime fino a €20 milioni o 4% del fatturato annuo worldwide
Chi è coinvolto ?
Le aziende che elaborano dati sono tenute ad affidarsi ad un RESPONSABILE DELLA PROTEZIONE DEI DATI (incaricare, assumere, siglare contratto di consulenza).
Articolo 25:
Data Protection by Design and By Default
Il controller deve implementare misure tecniche ed organizzative per assicurare che solo i dati necessari alla finalità vengano raccolti. In particolare deve assicurare che i dati personali raccolti non siano accessibili se non alle persona interessate al trattamento.
Obbligo di gestione degli eventi di data breaches o violazioni.
Articolo 33:
- es. comunicazione entro 72h (dal rilevamento) al garante
Articolo 34:
- es. comunicazione all’ interessato in caso la violazione comporti un rischio elevato
- Gli ‘interessati’Raccolta limitata ai dati minimi necessari per una finalitàL’interessato è il proprietario di tali datiArt. 12 Consenso informatoArt. 15 Accesso
Art. 16 Correzione
Art. 17 Cancellazione e “diritto all’oblio”
Art. 20 Portabilità dei dati (es. pubblica amministrazione)
L’interessato ha il diritto all’adeguata protezione dei suoi dati