Il 25 Maggio 2018 sarà una data di particolare importanza per tutte le organizzazioni che trattano dati personali (= tutte le aziende e attività commerciali!): diventerà effettivo il General Data Protection Regulation, il nuovo regolamento europeo sulla privacy e protezione dei dati personali.

Il GDPR è una norma europea, che armonizza e sostituisce tutte le leggi nazionali in materia di dati personali, superando anche la nostra controversa normativa sulla privacy (il “Codice in materia di protezione dei dati personali”, D.Lgs.30/06/2003 n.196), che ha ormai 15 anni.

C’è meno di un anno ancora a disposizione per prepararsi e, per chi non ha ancora iniziato a preoccuparsene, è proprio giunta l’ora di metterlo in agenda: le modifiche rispetto all’attuale sono notevoli, richiedono tempo e molte attività a livello dell’intera organizzazione e, fatto non trascurabile, la mancata compliance può implicare multe e sanzioni molto, molto più pesanti rispetto all’attuale normativa.

Innanzitutto, di quali “dati” parliamo? Mi riguarda davvero?

La Commissione Europea definisce “i dati” come “qualsiasi informazione collegata ad un individuo”. Ancor più specificamente, “può essere qualsiasi cosa, un nome, una foto, un indirizzo email, dati bancari, post sui social network, informazioni mediche, l’indirizzo IP di un computer”.
È chiaro quindi che questa sia una definizione molto più ampia rispetto a quella precedente della legislazione italiana, che si concentrava sui dati sensibili (afferenti alla sfera sessuale, medica, religiosa e politica) e in minor misura sui dati personali generici.

Sono ben poche le realtà in cui questi trattamenti di “dati” collegati ad un individuo non avvengono… quindi, si, al 99.9% riguarda anche la vostra organizzazione! E questa volta, non ce la caveremo con un banner sul sito web!

Cosa deve fare la mia attività per essere in linea?

A prima vista, rispettare il GDPR può sembrare una missione impossibile, più che un progetto realmente implementabile, ma agire per tempo con un approccio metodico consentirà di essere compliant in tempo utile, entro il 25 maggio 2018.

1. Definire un budget da dedicare all’attuazione del GDPR, fin dalle prime fasi del processo
2. Assegnare un responsabile di alto livello che sia referente per l’intero processo e abbia autonomia operativa sufficiente ad attuarlo
3. Acquisire informazioni precise sui dati gestiti o elaborati dall’organizzazione, dove sono memorizzati, da chi vengono elaborati ed utilizzati e per quali obiettivi
4. Elaborare un piano che consenta all’organizzazione di essere totalmente idonea entro il 25 Maggio 2018

E se non sarò in regola? Ci sono multe o sanzioni?

È brutto decidere di applicare un principio di correttezza e trasparenza (anche commerciale) in base alla sola presenza di sanzioni, ma in questo caso, le penalità per chi non sarà in regola sono un ottimo deterrente.

Le organizzazioni che mancheranno di ottenere correttamente, proteggere e, ove necessario, cancellare i dati personali, potranno incorrere in costosi processi di auditing, vedere non applicate le proprie polizze assicurative ed essere multate fino ad un massimo del 4% del proprio fatturato a livello mondiale.

Inoltre, la presenza di una Commissione dedicata all’identificazione di tali trasgressioni, consentirà anche ai vostri rivali di osservare e segnalare i vostri errori.

Serve aiuto per implementare GDPR nelle piccole aziende? Netdream può aiutarvi, con soluzioni su misura, alla portata della vostra realtà!

È stato pubblicato un nuovo post del blog Netdream dedicato a chiarire più in dettaglio le aree di intervento del GDPR, con alcuni spunti per la compliance, soprattutto in ambito web. Continuate a seguirci!