Regolamento generale sulla protezione dei dati e aziende

Entro un anno, le aziende con attività nell’Unione Europea dovranno seguire alcune nuove norme per la privacy stabilite nel Regolamento generale sulla protezione dei dati (GDPR).

GDPR

Durante gli ultimi anni la fuga di dati personali da parte delle aziende è cresciuta a livelli allarmanti. Il record di Yahoo del 2006 (con una fuga di circa mezzo miliardo di dati) sembrava difficile da battere e invece nello stesso anno in un solo incidente si è raggiunto l’apice. Un famoso spammer, noto come River City Media ha filtrato circa 1,37 miliardi di indirizzi email (oltre ad altri dati personali), una cifra davvero soprendente.

SCARICA IL REPORT GRATUITO PER ADEGUARE IN TEMPO LA TUA AZIENDA AL #GDPR  

 

Con centinaia di milioni di utenti potenzialmente colpiti da una sola fuga di informazioni, il problema dei dati personali sta interessando molti paesi in tutto il mondo ed è normale che la privacy e la sicurezza dei dati stia catturando l’attenzione anche della politica.

E si è in procinto di prendere provvedimenti a livello legislativo. Ad esempio, entro un anno le aziende con attività nell’Unione Europea dovranno seguire alcune nuove norme per la privacy stabilite nel Regolamento generale sulla protezione dei dati (GDPR). Il Regolamento ha lo scopo di unificare il sistema di protezione dei dati in tutta Europa e stabilisce alcuni obblighi da seguire quando i dati vengono spostati da un paese all’altro all’interno dell’Unione Europea o tra uno degli stati membri e i rispettivi partner a livello mondiale. In sostanza, lo scopo sarebbe quello di gestire e immagazzinare meglio i dati personali per evitare che vengano utilizzati in maniera inappropriata.

Analizziamo meglio questa iniziativa.

Cos’è il Regolamento generale sulla protezione dei dati? (GDPR)

Innanzitutto, il GDRP indica una definizione più accurata di dati personali, seguendo quella presente nella Direttiva europea per la protezione dei dati personali (“qualsiasi informazione riguardante una persona fisica identificata o identificabile [“interessato”])” e aggiunge altri dettagli.  In base ai cambiamenti che entreranno in vigore il prossimo anno, alcuni dati come indirizzi IP, informazioni su caratteristiche genetiche, psicologiche, culturali, economiche e sociali degli utenti saranno da considerare come dati personali. Entrano in questa categoria anche nickname e pseudonimi poiché in molti casi possono essere attribuiti a un individuo in particolare o a una organizzazione. Nomi di clienti, numeri di telefono, indirizzi, registri di fornitori e informazioni su uno staff rientrano tutti in questa definizione.

In secondo luogo, il GDPR stabilisce una serie di misure per migliorare la trasparenza nel controllo e la gestione dei dati. Gli utenti dovranno dare autorizzazioni più specifiche e potranno revocarle se non sono più d’accordo; inoltre, potranno richiedere informazioni su come vengono gestiti i propri dati, dove e per quale scopo. Gli utenti potranno richiedere alle aziende le informazioni che usano e che li riguardano e richiedere la cancellazione dai server dell’azienda stessa.

Infine, le aziende dovranno studiare come gestire la protezione dei dati fin dalla progettazione di nuovi sistemi, in modo da seguire il principio di “privacy by design”. E c’è di più, le aziende la cui attività prevede la manipolazione di un volume importante di dati personali, dovranno disporre di un responsabile che si occupi della protezione dei dati. Queste misure hanno l’intento di ridurre la probabilità di fughe di dati; tuttavia, se ciò dovesse accadere, le aziende avranno l’obbligo d’informare entro 72 ore le autorità competenti.

Le aziende che non seguono queste direttive avranno sanzioni economiche pesanti (fino al 4% delle entrate annuali generali o fino a 20 milioni di euro, in entrambi i casi moltissimi soldi). Sì, avete letto bene, entrate generali annuali. Per quanto riguarda le aziende che operano su scala mondiale ma che non hanno sedi fisiche in Europa, il Regolamento protegge i dati personali che gestiscono e che riguardano i cittadini europei, indipendentemente se la manipolazione dei dati ha luogo all’interno dell’Unione Europea o altrove.

Nei prossimi mesi analizzeremo le conseguenze che il GDPR potrebbe avere in diverse aree aziendali quali IT, Risorse Umane, Sales & Marketing, Dipartimento legale e finanziario. Pronti per questa nuova era? Vi faremo da guida durante tutto il processo.

Consigli