GDPR: una legge uniforme

Il GDPR, è una legge uniforme europea sul trattamento dati e delle informazioni che ci riguardano. Il regolamento si compone di svariati articoli tra cui l’articolo riguardante il diritto all’oblìo che consente ai coinvolti la possibilità di:

  • Richiedere la rimozione delle informazioni che riguardano i loro dati personali e sensibili.
  • Richiedere la «portabilità» dei dati
  • Avere l’obbligo di notifica in caso di data breach, ovvero la comunicazione entro un tempo definito di fughe di dati compromessi.

Il GDPR riguarda le aziende che gestiscono qualsiasi tipo di dato personale e sensibile.

Quali sono i principali elementi ed obblighi della normativa 679\2016 GDPR?

Fra gli elementi da valutare, disponiamo della richiesta di consenso, l’istituzione di un registro dei trattamenti, la notifica delle violazioni entro tempo definito e l’assegnazione di nomina di DPO al «responsabile protezione dati» . Per quanto riguarda il consenso, l’azienda deve chiedere l’intervento di accessibilità al servizio.

In merito al registro dei trattamenti,invece, si obbligano i responsabili a possedere un registro dove verranno elencate le attività e chi le dovrà svolgere.

In caso di data breach, quindi violazione dei dati, scattano obblighi di notifica entro tempo definito da quando si è venuti a conoscenza.

Figure professionali

Infine si vanno a nominare delle figure professionali responsabili: il DPO  interno o esterno dell’azienda con il ruolo di vigilare sull’applicazione effettiva della GDPR da parte del suo titolare.

Qualora si violasse il regolamento, scattano delle sanzioni a seconda della gravità dell’infrazione, le multe sono divise in due scaglioni: fino a un massimo di 10 milioni di euro o, per le imprese, il 2% del fatturato (se superiore); oppure fino a un massimo di 20 milioni o il 4% del turnover, sempre per le aziende e sempre in rapporto al business aziendale.

La sanzione più soft viene inflitta per la trasgressione di principi come la privacy by design, ovvero il mancato progetto di protezione dei dati o la mancanza di misure atte a garantire un buon standard di sicurezza.

Quella più pesante arriva in caso di violazione dei principi fondamentali, come la negazione del diritto all’oblio la richiesta di consenso dei dati.

Il Garante alla privacy, a quanto è emerso ha consentito una proroga di sei mesi dove le aziende ritardatarie possono evitare sanzioni. Ma l’impresa deve comunque mostrare di avere avviato un piano di adeguamento.