DIGITAL TRASFORMATION
ATTUARE LA NORMATIVA GDPR
L’obiettivo della normativa GDPR è quello di garantire a cittadini e consumatori europei il controllo dei loro dati personali. Infatti sempre più spesso essi sono utilizzati dalle aziende in modo improprio o non sufficientemente protetti da possibili attacchi informatici.
Che cos’è il GDPR ?
Ormai da qualche anno tutti parlando di GDPR (Global Data Protection Regulation), ovvero la normativa europea redatta dal Garante Europeo della Privacy, approvata ufficialmente per i paesi dell’UE il 27 Aprile 2016 e diventata Legge il 25 Maggio 2018. Ma che cos’è esattamente e quali sono le aziende che devono dotarsene ?
Le aziende avevano l’obbligo di regolamentare i dati aziendali nel rispetto della Normativa Privacy già prima dell’emanazione della Legge 2016/679, nota come GDPR. Ma questa nuova legge e le sanzioni che prevede, hanno posto in modo molto chiaro l’attenzione sulla tematica, obbligando le imprese a prendere seriamente in carico questo argomento.
Quali aziende hanno l’obbligo di attuare la normativa GDPR ?
Questa normativa riguarda tutte le aziende in possesso di dati di clienti europei, indipendentemente dalla propria sede legale. Qualora per esempio l’azienda abbia sede legale in Svizzera, ma tratti dati di cittadini europei, la GDPR va ugualmente applicata. L’adeguamento include la regolamentazione di tutti i flussi di dati, la redazione del registro dei trattamenti, delle informative e la redazione di un manuale aziendale.
La nomina del DPO è obbligatoria?
Il DPO, ovvero Data Protection Officer, nasce dall’evoluzione del Privacy Officer. È una figura esperta in materia di privacy e dati che affianca il titolare dell’azienda nella regolamentazione dei dati aziendali. Il ruolo del DPO è chiave: controlla che la normativa venga applicata e rispettata. Esso deve possedere un’adeguata conoscenza delle normative e delle prassi di gestione dei dati personali. Esso deve adempiere alle proprie funzioni in piena autonomia ed indipendenza, e in assenza di conflitti di interesse. Per questa ragione, non può ricoprire tale incarico un soggetto che si trovi ai vertici aziendali, in grado di influenzare le scelte adottate in materia di trattamento dei dati.
Il ruolo del DPO puo’ essere affidato ad un dipendente dell’azienda ma anche esternalizzato ad un fornitore di servizi. Il vantaggio nell’affidarlo ad un consulente esterno è molteplice. Egli sarà costantemente aggiornato sugli sviluppi della normativa e potrà offrire un valido supporto al titolare ed ai collaboratori nell’applicazione della legge.
Perchè esternalizzare il DPO ?
Molte aziende decidono di dotarsi di un DPO esterno, al fine di:
- garantire il corretto rispetto della normativa e non rischiare di incorrere in onerose sanzioni, che vanno fino al 4% del fatturato.
- avere a disposizione un team dedicato di informatici, legali e project manager costantemente aggiornati sulla normativa e sue evoluzioni.
- garantire la redazione dei documenti formali previsti dalla normativa, da presentare obbligatoriamente in caso di controllo da parte del Garante della Privacy.
Nuovi controlli e sanzioni da parte del Garante della Privacy
Le sazioni per le aziende che non rispettano la normativa e dimostrano di non aver preso in carico l’attività, possono arrivare fino al 4% del fatturato annuo. A partire da settembre 2019 i controlli da parte del Garante della Privacy sono aumentati, si sono focalizzati in particolare su:
- Trattamenti effettuati dall’ISTAT
- Trattamenti di dati personali effettuati per il rilascio dell’identità federata
- Trattamenti di dati personali effettuati da Istituti bancari
- Trattamenti di dati personali effettuati da aziende per attività di marketing
- Trattamenti di dati personali effettuati da enti pubblici
- Trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione
La tua azienda non si è ancora adeguata alla normativa GDPR ? Scrivici, il nostro Team Privacy ti contatterà per fissare una prima call.