GDPR, cinque domande per chiarirsi le idee sul nuovo Regolamento

Dal 25 maggio 2018, anche in Italia è in vigore il Regolamento UE 2017/679 sul trattamento dei dati personali, noto come GDPR. Come riportato nell’articolo 1 del Regolamento, il suo obiettivo è di garantire la protezione dei dati personali delle persone fisiche e di stabilire delle norme rispetto alla libera circolazione di tali dati.

Cinque domande frequenti sul GDPR

La materia del General Data Protection Regulation è piuttosto complessa. Anche per questo, prima dell’effettiva entrata in vigore, sono stati concessi due anni per adeguarsi. Una trattazione esaustiva del GDPR, pertanto, potrebbe richiedere molto spazio e tempo. In questo decalogo, invece, proponiamo alcune delle domande ricorrenti quando si parla del Regolamento UE 2017/679.

Come adeguarsi al GDPR?

Il General Data Protection Regulation richiede, come già avviene in Italia, che si forniscano informazioni specifiche sul trattamento dati personali. In particolare, devono essere specificate le finalità del trattamento di dati, i destinatari dei dati, il periodo di conservazione, l’identità del titolare del trattamento dei dati e del responsabile della protezione dei dati. Prima di arrivare a questo punto, tuttavia, sono stati individuati sette punti:

  • mappatura processi aziendali: questo passaggio consente di considerare tutti le occasioni durante le quali l’azienda si trova a trattare dei dati personali;
  • istituzione del Registro dei trattamenti di dati personali: è un documento dove devono essere riportate tutte le informazioni (e, se necessario, altre) relative all’articolo 30 del Regolamento: dati del titolare del trattamento dati e del responsabile della protezione dati, le finalità del trattamento, le categorie di interessati e di dati personali, ecc.;
  • redazione della documentazione: sulla base dei dati raccolti finora, si può procedere all’adeguamento o alla riscrittura della documentazione relativa al trattamento dei dati personali;
  • nomina dei responsabili del trattamento: devono essere individuati tutti i ruoli previsti dal regolamento, il Titolare e il Responsabile del trattamento dei dati;
  • definizione delle politiche di sicurezza: si esegue una valutazione dei rischi e si definiscono le politiche di sicurezza al fine di dimostrare che il trattamento dei dati avviene in maniera conforme al Regolamento;
  • processo di Data Breach: eseguire accurati report per valutare, in caso di necessità, le procedure da adottare in caso di violazione del trattamento dei dati personali;
  • nomina del DPO: deve essere individuato e nominato il Responsabile della protezione dei dati, previsto dall’articolo 37 del Regolamento.

GDPR quando entra in vigore?

In realtà, il GDPR è stato pubblicato sulla Gazzetta ufficiale europea il 4 maggio 2016 ed è entrato in vigore in tutti gli Stati membri dell’Unione europea a partire dal 24 maggio dello stesso anno. La sua applicazione, tuttavia, come previsto dall’articolo 99 del Regolamento stesso, è stata differita al 25 maggio 2018 per consentire alle aziende interessate, vista la complessità della disciplina, di attrezzarsi adeguatamente alle novità introdotte dal regolamento. Purtroppo però, in Italia molte aziende non si sono ancora adeguate.

GDPR quali aziende sono interessate?

Gli ambiti di applicazione del GDPR sono previsti dagli articoli 2 e 3 del Regolamento. Questo stabilisce che venga applicata la disciplina al trattamento interamente o parzialmente automatizzato o non automatizzato dei dati personali. Inoltre, è prevista l’applicazione per il trattamento effettuato da persone fisiche per l’esercizio di attività a carattere personale o domestico. Da un punto di vista territoriale, invece, il Regolamento GDPR si applica per i dati personali di tutti gli interessati che si trovano in Unione europea, anche quando il titolare del trattamento non è stabilito in Unione europea. In particolare, ciò vale quando vi è l’offerta di beni o prestazione di servizi, in presenza o meno di un pagamento.

GDPR quali sono i dati sensibili?

La nuova disciplina del GDPR amplia i dati, oltre quelli personali. In particolare il General Data Protection Regulation GDPR prevede i seguenti tipi di dati:

  • dato personale: riguarda i dati che consentono di identificare la persona fisica, come nome, caratteristiche fisiche o fisiologiche, identificativi online;
  • dati genetici: riguarda i dati ottenuti mediante analisi di DNA ed RNA, da un campione della persona fisica;
  • dati biometrici: riguarda quei dati fisici attraverso cui è possibile identificare una sola persona (p.es. impronta facciale);
  • dati sulla salute: riguarda tutti i dati che riguardano la salute fisica e psichica della persona fisica, presenti, passati e futuri; comprende anche i dati relativi l’assistenza sanitaria.

Chi è il Responsabile della protezione dei dati?

Il Responsabile della protezione dei dati è un dipendente dell’azienda o altra persona legata a un contratto di servizi, che ha i seguenti compiti:

  • offrire consulenza al titolare, al responsabile e ai dipendenti che si occupano del trattamento dei dati personali;
  • sorvegliare l’osservanza del Regolamento GDPR e di tutte le disposizione dell’Unione europea in materia di dati personali;
  • se richiesto, fornisce un parere alla valutazione d’impatto sulla protezione dei dati;
  • cooperare con l’autorità di controllo e ricoprire il ruolo di punto di contatto.

Il Responsabile della protezione dei dati viene scelto dal Titolare e dal Responsabile del trattamento, quando le attività dell’autorità o dell’organismo pubblico consistono in trattamenti che, per loro natura, richiedono il monitoraggio degli interessati. Il Responsabile della protezione dei dati deve essere chiaramente indicato e deve essere facilmente raggiungibile.

Un esempio pratico: i software gestionali di Geniosoft

Anche Geniosoft si è adeguato al Regolamento GDPR e stiamo ulteriormente rafforzando la riservatezza proponendo un database che conserverà i dati in forma criptata. Tutti i nostri software gestionali, infatti, operano il trattamento di numerosi dati personali. L’azienda, pertanto, ha dovuto provvedere ad analizzare i propri processi aziendali, individuando quale genere di dati personali vengono trattati, come è possibile tutelarne la perdita e chi sono il Responsabile dei dati e il Responsabile della protezione dei dati.

Condividi sui social: Share on Facebook
Facebook
0Share on Google+
Google+
0Tweet about this on Twitter
Twitter