DNV GL

Il GDPR (General Data Protection Regulation)

Il Regolamento Generale sulla protezione dei dati (GDPR), Regulation (EU) 2016/679, è stato adottato il 27 aprile 2016. Sarà applicato a partire dal 25 maggio 2018 e, a differenza di una Direttiva, non richiede alcuna forma di legislazione applicativa da parte degli stati membri.

Condividi:
Stampa:
Globo 1200x800

Che cos'è?

E' il regolamento definito dalla Commissione europea per rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell'Unione europea e dei residenti nell'Unione Europea. Il GDPR rappresenta un passaggio fondamentale nella difesa dei diritti fondamentali dell’uomo nell’era digitale e facilita l’interazione digitale tra le aziende del mercato europeo semplificando le regole e diminuendo i costi amministriativi, rendendo omogenea la normativa privacy dentro l'UE.

uomo tra server 1200x800

Chi riguarda?

Riguarda tutte aziende, enti pubblici, liberi professioni ed associazioni che gestiscono i dati personali dei cittadini dell’Unione Europea. Il regolamento non riguarda la gestione di dati personali per attività di sicurezza nazionale o di ordine pubblico.

confidential security 12001x800

Quali novità prevede?

Il Regolamento Europeo contiene alcuni articoli molto significativi che comportano delle variazioni nelle misure che le imprese hanno adottato fino ad oggi nella tutela dei dati personali. Sono previsti, ad esempio: 

  • Principio di responsabilità (art. 22): il principio della accountability (responsabilità verificabile) comporterà l’onere in capo al titolare del Trattamento dei dati di dimostrare l’adozione di tutte le prescrizioni sulla privacy, attraverso l’introduzione e conservazione di apposita documentazione basata sul P.I.A. (Privacy Impact Assesment art.33) e sul P.L.A. (Privacy Level Agreement) in grado di attestare il “modello organizzativo e di sicurezza privacy “ (c.d. principio di rendicontazione).
  • Valutazione d’impatto sulla protezione dei dati (Art. 33 Data Protection Impact Assessment): saranno richieste valutazioni d’impatto sulla protezione dei dati personali quando il trattamento, per la sua natura, il suo soggetto o le sue finalità, presenta rischi specifici per i diritti e la libertà degli interessati.
  • Controllo del Codice di Condotta (art. 38): il controllo del rispetto di un codice di condotta adottato da un’organizzazione, può essere effettuata da un organismo che ha un adeguato livello di competenza in relazione con l'oggetto del codice ed è accreditata a tal fine dalla competente Autorità di controllo.
  • Certificazione (Art. 39): L’Unione Europea intende promuovere la possibilità di predisporre meccanismi di certificazione per il rilascio di certificati e marchi allo scopo di dimostrare la conformità al Regolamento delle operazioni di trattamento dei dati da parte degli operatori coinvolti. I certificati potranno essere rilasciati da Organismi di Certificazione accreditati dall’Autorità di controllo (Garante della Privacy) e/o dall’Organismo di Accreditamento nazionale.
DigitalPanel5_1200x800

Gli obiettivi in sintesi

Il GDPR regola come le organizzazioni trattano i dati personali. Si prefigge di offrire agli individui un maggior controllo su da chi e come vengono raccolti, conservati e utilizzati i propri dati personali. In generale richiede alle organizzazioni di:

  • Processare i dati personali in modo legale, corretto e trasparente.
  • Raccoglierli per uno scopo specifico, esplicito e legittimo
  • Raccogliere solo i dati necessari a questo scopo
  • Prendere le giuste misure per perchè i dati siano conservati in modo accurato e mantenuti aggiornati
  • Mantere i dati in modo che siano identificabili e per un periodo congruo con la necessità espressa 
  • Utilizzare misure tecniche e organizzative per garantire la sicurezza dei dati
  • Essere in grado di dimostrare il rispetto dei principi del GDPR.