Il 25 maggio 2018 è entrato in vigore il nuovo regolamento europeo GDPR (General Data Protection Regulation).
La nuova normativa ha lo scopo di rendere più omogenea e più sicura la protezione dei dati personali di cittadini dell’Unione europea e dei residenti, sia all’interno che all’esterno dei confini.
Gli obiettivi della Commissione europea sono di restituire ai cittadini il controllo dei propri dati personali e di semplificare il contesto normativo che riguarda gli affari internazionali unificando e rendendo omogenea la normativa privacy dentro l’UE.

Destinatari
Il regolamento è rivolto ai liberi professionisti, alle aziende, indipendentemente dal numero di dipendenti al suo interno, e alle pubbliche amministrazioni.

La soluzione R&D
Studio R&D, grazie al suo team di consulenti qualificati, è in grado di seguire il Cliente durante l’intero processo, dalla prima valutazione del rischio privacy fino alla consulenza sulle misure da mettere in atto.

Le sanzioni previste
Il regolamento prevede, oltre al risarcimento dell’eventuale danno, sanzioni amministrative pecuniarie fino a 20 milioni di euro per le singole imprese, oppure fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

Punti chiave del nuovo regolamento
• Implementazione di un Modello di Gestione
• Implementazione di misure di sicurezza adeguate
• Obbligo di formazione verso tutte le persone autorizzate a trattate i dati (ex – incaricati)
• Obbligo di dimostrare l’attuazione delle misure previste dal modello

La normativa ha un impatto consistente in diversi ambiti:

Ambito organizzativo

• Istituzione di un Registro dei Trattamenti
• Implementazione del principio di Accountability
• Implementazione del criterio di Privacy by Default
• Possibilità di richiedere la modifica dei dati o il diritto all’oblio
• Obbligo di notifica in caso di Data Breach entro 72 ore
• Introduzione della figura del DPO – Data Protection Officer

Ambito sicurezza

Le misure minime ex All. B D.lgs. 196/03 vengono superate ed arricchite in relazione alla tipologia di dati trattati:

• Architettura client/server
• Sistemi antintrusione hardware – firewall
• Protezione da virus
• Strategia di backup adeguata
• Minimizzazione e crittografia dei dati