Entrato in vigore il nuovo Regolamento Europeo per la protezione dei dati personali
Dal 25 maggio 2016 è ufficialmente in vigore in tutti gli stati membri dell’Unione Europea, il Regolamento UE 2016/679 (GDPR) del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Il testo è stato pubblicato in Gazzetta Ufficiale dell’Unione Europea (GUUF) in data 4 maggio 2016.
Il nuovo Regolamento, che abroga la Direttiva 95/46/CE (Regolamento sulla protezione dei dati generali), sarà definitivamente applicabile in via diretta dal 25 maggio 2018.
In questi due anni, i cittadini e le imprese dovranno adeguarsi alle nuove disposizioni, se non vorranno essere soggette a sanzioni alla scadenza del biennio.
Il GDPR vuole, da un lato, garantire una maggior tutela dei dati a seguito delle nuove tecnologie digitali utilizzate per il loro trattamento e la loro conservazione; dall’altro, ottenere un’armonizzazione normativa all’interno dell’UE, in modo da evitare difformità nella gestione dei dati personali rendendo il mercato più sicuro per gli utenti e competitivo per le aziende.
Queste sono alcune tra le principali novità introdotte dal GDPR per le imprese:
- le aziende pubbliche e private con un numero maggiore di 250 dipendenti dovranno nominare al loro interno un Data Protection Officer (DPO), un responsabile per la protezione dei dati con il compito di garantire il pieno rispetto della normativa
- aumento dell’importo delle sanzioni per le aziende che violeranno le disposizioni del GDPR: fatti salvi i minimi di legge, si potrà arrivare fino al 4% del fatturato annuo dell’impresa
- in caso di violazioni dei dati personali (data breach) al proprio interno, per esempio accessi non autorizzati, l’azienda dovrà notificare il fatto all’Autorità e ai propri utenti entro un periodo prestabilito dal momento della scoperta della violazione
- le aziende dovranno rispondere al requisito del privacy impact assessment, effettuando una valutazione complessiva dell’ impatto della normativa all’interno della propria impresa
- applicazione del principio generale del privacy by design, ossia la necessità di prevedere specifiche misure tecniche ed organizzative a protezione dei dati, dal momento della progettazione di un prodotto e servizio
- riconoscimento agli interessati del diritto all’oblio, cioè la possibilità di decidere quale informazioni personali far circolare (specialmente on-line), dopo un periodo di tempo, eccetto specifiche esigenze (es. obblighi di legge)
- riconoscimento agli interessati del diritto al portabilità del dato, ossia la facoltà di trasferire, ad esempio, i propri dati da un soggetto giuridico ad un altro
Per l’industria della sicurezza rileva quanto disposto dall’art. 32 del GDPR in merito all’obbligo del titolare dei dati a “mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” comprendenti “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”. I fornitori di dispositivi che trattano dati personali come, ad esempio, i sistemi di videosorveglianza e i lettori biometrici, dovranno dunque assicurare al proprio cliente titolare del trattamento l’adeguatezza dei dispositivi a quanto previsto dalla nuova normativa.
A cura della Redazione
Scarica il Regolamento UE 2016/679 (GDPR) cliccando qui sotto: