GDPR, cos’è e come funziona
Una data da segnare sul calendario per evitare problemi futuri: il 25 Maggio, quindi è questione di giorni, entrerà in vigore il nuovo Regolamento UE 2016/279, presentato nel dicembre 2015 e pubblicato in Gazzetta Ufficiale nel maggio 2016. Questo nuovo regolamento, conosciuto anche con l’acronimo GDPR (General Data Protection Regulation) disciplina la raccolta, l’elaborazione e la gestione dei dati sensibili di clienti ed utenti delle diverse aziende. Una rivisitazione/aggiornamento dei precedenti regolamenti che permette quindi un migliore controllo ma soprattutto unisce tutte le aziende senza più fare distinzioni per settore produttivo. Ogni azienda dovrà dunque porre attenzione alla gestione e alla conservazione delle informazioni relative a un individuo, sia per quanto riguarda la vita privata che professionale e pubblica.
GDPR: come le aziende devono adeguarsi?
Si parte dal consenso: le aziende sono tenute infatti a richiederlo alle persone per poter trattare ed elaborare i loro dati, inoltre deve essere dimostrabile agli enti competenti in qualunque circostanza l’accettazione da parte dell’utente stesso. Ogni dato ottenuto deve essere specifico, esplicito ma soprattutto deve essere usato soltanto per scopi legittimi: se così non fosse l’utente deve avere la possibilità di revocare il consenso in qualsiasi momento.
Ma il GDPR permetterà a tutti gli individui interessati di accedere liberamente alle informazioni sulle modalità di elaborazione e trattamento degli stessi dati e il tempo massimo da parte delle aziende per rispondere a tale richiesta è di 30 giorni. Ovviamente tutti i dati devono essere esportabili in un formato strutturato, come ad esempio Excel.
Alcune aziende, se necessario, potranno prevedere una nuova e apposita figura professionale, ovvero il data protection officer. Questa figura diventa obbligatoria per le aziende pubbliche e private che trattano dati in grado di ledere i diritti degli individui coinvolti. Questo nuovo soggetto, dunque, deve essere in grado di monitorare liberamente i dati, deve avere potere di controllo, può essere sia interno all’azienda ma anche esterno e non deve essere in posizione di conflitto d’interessi.
Sono dunque 8 gli step da fare per un’azienda che vuole adeguarsi al GDPR:
- individuare i dati presenti in azienda
- suddividere i dati stessi in gruppi e per ognuno di questi stabilire una finalità
- per ogni gruppo si deve individuare modalità e figurate autorizzate
- si devono definire inoltre modalità e tempi di conservazione
- stabilire una dettagliata informativa sulla privacy
- costituire un sistema di sicurezza adeguato
- definire una procedura in caso di incidenti informatici
- valutare l’istituzione della figura del data protection officer