Normativa GDPR
GDPR – Nuova normativa sulla protezione dei dati
In cosa consiste la nuova regolamentazione europea per la protezione dei dati (GDPR)?
Il Regolamento Generale sulla Protezione dei Dati (GDPR), che offre una maggiore tutela alle persone fisiche e rende le aziende più responsabili nell’utilizzo dei dati personali, rappresenta lo sviluppo più importante di questo secolo nella legislazione relativa alla protezione dei dati.
Grazie a questo nuovo Regolamento, la protezione dei dati assume una posizione di prima linea tra i processi aziendali, con un impatto significativo sulla gestione delle informazioni personali relative sia ai clienti che ai dipendenti.
In seguito all’approvazione da parte dell’Unione Europea del GDPR [Regolamento (UE) 2016/679], nell’aprile 2016, le modifiche sono ora ufficialmente legge, entreranno in vigore in tutta l’UE il 25 maggio 2018 e si applicheranno a tutte le imprese, dagli enti pubblici fino alle aziende medio-piccole.
Tali modifiche influenzeranno il modo in cui operiamo nel nostro business. Con la presente informativa intendiamo offrire una presentazione generale del GDPR e spiegare, in particolare, in che modo influenzerà il nostro lavoro.
Queste nuove norme si applicheranno anche ai dati detenuti in forma cartacea?
Il GDPR si applicherà in riferimento alla gestione dei dati personali. I dati sono definiti personali quando permettono di risalire all'individuo, quali ad esempio il nome, l'indirizzo, il contatto email, codici di sicurezza, codici bancari, ecc.
Il Regolamento Generale sulla Protezione dei Dati si applicherà quindi sia ai dati detenuti in forma elettronica (es. email e database) che cartacea (con poche eccezioni). Ciò significa che siamo responsabili anche degli archivi cartacei: dobbiamo conservarli in modo sicuro e, quando non più necessari, distruggerli in sicurezza, grazie ad un distruggi documenti conforme alla nuova normativa.
Quali sono gli articoli più significativi del nuovo GDPR?
Di seguito alcune delle norme-chiave del GDPR e come Tosingraf può contribuire fornendo prodotti di qualità, come i distruggi documenti professionali EBA, GDPR Ready, già conformi al nuovo Regolamento.
Sicurezza - GDPR, artt. 5, c. 1, f) e 32
Si devono tenere al sicuro i dati personali. Sono incluse misure di protezione aggiuntive contro accessi non autorizzati o illegali ai dati personali.
Principi della protezione dati - GDPR; art. 5, c. 1
Secondo il GDPR, esistono sei principi per la protezione dei dati. Questi includono:
Legalità, giustizia e trasparenza: trattare dati personali in modo legale, equo e trasparente;
Restrizioni: si raccolgono dati per scopi specifici, espliciti e legittimi e non si trattano gli stessi in un modo che sia contro i suddetti scopi;
Minimizzazione dei dati: i dati personali devono essere adeguati, rilevanti e limitati allo scopo per il quale li si sta usando;
Accuratezza: è necessaria la cancellazione (o correzione) immediata di informazioni inesatte;
Limiti per la conservazione: si devono conservare dati personali in una forma che consenta al soggetto di essere identificato; ciò deve avvenire non oltre il tempo necessario e per gli scopi previsti dal regolamento, vale a dire, se non ne avete più bisogno, distruggete i dati personali in modo sicuro;
Integrità e riservatezza: i dati sono trattati in modo sicuro.
Responsabilità - GDPR, art. 5, c. 2
Si deve essere in grado di dimostrare che si è stati conformi coi principi di cui sopra.
Diritti d’accesso dei soggetti - GDPR, art. 15
Il GDPR consente ai soggetti (es. clienti, dipendenti, candidati) maggiori diritti per accedere ai dati personali che l’azienda detiene. Quest’ultime devono rispondere alla richiesta entro un mese.
Materiale d’archivio - GDPR, artt. 5, c. 1, e) e 89
Si devono archiviare dati personali per un tempo più lungo laddove questi saranno impiegati esclusivamente a fini di archiviazione per motivi di pubblica utilità, per ricerche scientifiche o storiche o per elaborare statistiche, fermo restando che si deve porre in essere tutele adeguate.
In quali sanzioni incorrono le aziende non in regola con il GDPR?
In base alle nuove norme in materia di protezione dei dati, le autorità competenti possono imporre sanzioni elevate in caso di violazioni. La sanzione può raggiungere i 20 milioni di euro oppure il 4% del volume d’affari globale annuo di un’azienda, a seconda di quale importo è maggiore.
Anche se non tutte le violazioni porteranno alla sanzione più elevata, vedersi comminare una sanzione, sia pur minima, comporterebbe, oltre al danno finanziario, anche un non trascurabile danno all’immagine dell’azienda.
Le aziende dovranno fare di più?
Sì. In base alle nuove norme, ogni azienda avrà maggiori responsabilità e obblighi. In particolare, alle aziende viene richiesto di adottare misure tecniche e organizzative a garanzia del trattamento corretto dei dati. Per valutare il corretto livello di sicurezza è necessario considerare i rischi connessi al trattamento dei dati, in special modo quelli legati a una distruzione accidentale o illegale.
Occorre anche essere in grado di dimostrare quali misure sono state intraprese in caso di controlli da parte delle autorità competenti. Una parte significativa, sotto questo aspetto, consiste nel controllare a chi vengono inviati i dati personali: ad esempio sarà necessario verificare anche le procedure adottate dalle aziende con cui si collabora.
Cosa quindi bisogna fare di preciso?
Per mettersi in regola con il GDPR occorre mettere a budget e pianificare risorse adeguate. È necessario mettere bene a frutto il tempo disponibile per apportare gli opportuni adeguamenti.
Il nostro consiglio è quello di eliminare innanzitutto i documenti sensibili e privati che non rispettano le norme di sicurezza sopra citate. Inoltre è nostro dovere indicarvi quali distruggi documenti sono più adatti alle vostre esigenze (ebbene sì, non tutti i distruggi documenti sono infatti conformi a questa normativa).
Con la gamma professionale di distruggi documenti EBA (GDPR Ready), sarai in grado di garantire alla tua azienda una doppia protezione. Come? Innanzitutto i tuoi dati verranno distrutti in modo tempestivo ed in completa sicurezza. In secondo luogo, poiché non sarai soggetto a sanzioni significative secondo quanto previsto dalla nuova disciplina, manterrai la tua ottima reputazione e quindi la fiducia dei tuoi clienti.