Logout
Vai ai contenuti

GDPR in azienda: come fare per mettersi in regola

GDPR: cosa fare per mettersi in regola

Il regolamento europeo GDPR (General Data Protection Regulation) è già in vigore e obbliga le aziende a controllare dove i dati personali sono e a garantire che siano protetti.
Il Regolamento e non normativa. Pertanto è già attivo e operante: c'è tempo fino al 25 maggio del 2018 per mettersi in regola.
Dopodichè chi non lo avrà fatto sarà soggetto a sanzioni pecuniarie fino a 20 milioni euro o 4% del fatturato.

Cosa prescrive il regolamento Gdpr

Inizialmente il GDPR prescrive che si facciano internamente delle valutazioni documentate di impatto del rischio, sulla base delle infrastrutture e dei sistemi esistenti. Per questi il regolamento prevede che si applichi il principio del Privacy by design e by default: ogni nuovo sistema deve essere aderente al regolamento.
Il regolamento stabilisce che il consenso al trattamento dei dati si valido ed esplicito e può essere revocato. Impartisce anche di identificare una figura aziendale che si assuma il compito di protettore e conservatore dei dati.
Le aziende che hanno più stabilimenti, lontani fra loro, devono averne più di uno, uno per ogni location e per ogni persona che gestisce i dati.
In caso di violazione dei dati, bisogna spiegare e documentare come si intende reagire.
Va informata lautorità di vigilanza entro 72 ore dalla violazione.
Il GDPR sancisce il diritto alla cancellazione dei dati e il diritto all'oblio e la portabilità dei dati da un sistema di comunicazione all'altro, anche al di fuori di UE.

Cosa deve fare ogni azienda di fronte al GDPR

In super sintesi, sono 5 i punti chiave che ogni azienda deve affrontare per adeguarsi al GDPR:
  1. Controllare pienamente l’accesso ai dati, con database strutturati e destrutturati
  2. Identificazione chiara dei dati personali gestiti (con accesso immediato, profilazione, norme di sicurezza a favore della tutela dei dati)
  3. Governance dei dati: esplicitazione delle policy, identificazione dei processi di gestione, assegnazione delle responsabilità.
  4. Strategie di protezione dei dati: anonimizzazione dei record di dati e crittografia.
  5. Controllo delle procedure applicate, con reportistica interna, verifiche, gestione proattiva del rapporto con gli utenti.
Tutti questi aspetti confluiscono in un Registro delle Attività di Trattamento dei dati, in cui appunto sono spiegate tutte le procedure, le finalità, i software utilizzati, le persone coinvolte, le responsabilità, le misure di sicurezza previste nella gestione dei dati personali trattati.
PMI e GDPR: gli obblighi delle piccole aziende nei confronti della nuova Normativa Privacy
La normativa è un po’ più morbida per le piccole aziende. Ok i punti elencati sopra per tutte le aziende, per è bene sapere che:
  • le PMI sono di fatto sollevate dall’obbligo di nominare un DPO nel momento in cui il trattamento dei dati non sia cruciale rispetto all’attività di un’impresa;
  • in caso di richieste di accesso ai dati con costi elevati (come tempo o denaro), potrà essere richiesta una tariffa per fornire l’accesso o per garantire una modifica dei dati;
  • il Privacy Impact Assessment non è obbligatorio, salvo rischi specifici dovuti a una grande mole di dati trattati, soprattutto tramite internet;
  • le notifiche ordinarie all’autorità garante della Privacy non saranno più da fare; rimarranno solamente le comunicazioni straordinarie, per questioni che mettono a rischio la Privacy degli utenti.

Le multe per chi viola il regolamento Privacy GDPR
Come sempre, le sanzioni sono salatissime: dal 2% al 4% del fatturato mondiale annuodell’azienda che violasse il regolamento o, in alternativa, un corrispettivo che va dai 10 ai 20 milioni di euro. Chi ha voglia di rischiare?
CASENTINO WEB
Agenzia certificata da GOOGLE
Numero REA: 172019
Partita IVA: 02242830517
Richiedi analisi per GDPR a Casentino Web








La nostra sede Principale
Casentino Web
Via  Borgo c. s.  9/a
52010  Castel S. Niccolò AR
P.Iva IT02242830517
Privacy Policy
Torna ai contenuti