GDPR General Data Protection Regulation

Nuovo Regolamento Privacy UE

Di cosa tratta e a chi si rivolge il nuovo regolamento privacy europeo

GDPR, acronimo di General Data Protection Regulation, è il nuovo regolamento europeo sulla privacy che entrerà in vigore il 25 Maggio 2018. A differenza dell’attuale direttiva (95/46/EC del 1995) il GDPR si applicherà anche a imprese, enti e organizzazioni con sede legale fuori dall’UE che trattano dati personali di residenti nell’UE.

Il nuovo regolamento europeo privacy vuole rafforzare e armonizzare le disposizioni in materia di protezione dei dati sensibili degli abitanti dell’Unione Europea. In sostanza l’obiettivo è di restituire ai cittadini il controllo dei propri dati personali, agevolando la realizzazione del principio semplificando il contesto normativo. Per un maggior approfondimento il testo completo del GDPR italiano, è consultabile sul sito della Gazzetta Ufficiale dell’UE.

Cosa cambia con il nuovo GDPR

Tra le novità che la nuova normativa prescrive spiccano le misure atte alla gestione della sicurezza dei dati sensibili attraverso la cifratura e la pseudonimizzazione. Rilevante è anche la monitorizzazione degli accessi ai dati, elementi sempre più a rischio nel mondo globalizzato e interconesso di oggi.

Il General Data Protection Regulation GDPR nasce proprio con l’intento di salvaguardare i cittadini dall’eventualità di un data breach. I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere infatti soggetti al rischio perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità. Si tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati.

Nuovi obblighi previsti

Le aziende, le imprese e gli enti dovranno dunque strutturare un’efficace strategia di salvaguardia dei dati sensibili per allinearsi al nuovo regolamento UE. Questo per garantire la sicurezza ed evitare le pesanti sanzioni previste che vanno da una semplice diffida amministrativa ai 20 milioni di euro di multa.

Tra i nuovi obblighi ricordiamo ad esempio:

  • Redazione di un registro dei trattamenti;
  • Nomina di un Data Protection Officer (DPO)
  • Analisi dei rischi;
  • Notifica delle violazioni di sicurezza che non riguardano sono il data breach, ma anche situazioni meno gravi come la semplice indisponibilità di un dato.

Nonostante la scadenza imminente e le pesanti sanzioni previste in caso di mancato adeguamento, la situazione in Italia è molto eterogenea.

  • Solo il 3% delle realtà con più di 10 dipendenti ha già predisposto una strategia per la compliance GDP;
  • Il 43% ha cominciato il processo di analis;
  • Il 54% ha sviuppato un piano per la conformità, ma non è ancora compliant.
    (dati IDC)