Cosa comporta per il tuo business il nuovo regolamento generale sulla protezione dei dati (GDPR)?

Customer Engagement

,

Data Governance

,

Blog

Cosa comporta per il tuo business il nuovo regolamento generale sulla protezione dei dati (GDPR)?

Techedge | Gen 11, 2017

Nel maggio del 2016 il Parlamento europeo ha approvato il cosiddetto “Regolamento generale
sulla protezione dei dati” (GDPR), destinato a dare vita a una realtà in cui i cittadini avranno diritto alla stessa protezione dei dati in tutta l'UE, mettendo fine alle centinaia di leggi frammentarie oggi esistenti.

Il GDPR aiuterà gli utenti a riprendere il controllo sui propri dati individuali, ma potrebbe creare qualche complicazione in materia di conformità per le aziende che si affidano ai dati inseriti dai clienti per orientare la propria attività di vendita e di marketing.

Il GDPR diventerà ufficialmente una legge il 25 maggio 2018, per cui i prossimi due anni saranno fondamentali per consentire alle aziende allinearsi al regolamento, senza eccezioni.

Se da un lato pare che le regole fondamentali della Direttiva sulla protezione dei dati personali (che ha disciplinato l'uso dei dati dei singoli individui all'interno dell'UE negli ultimi vent'anni) rimarranno le stesse, le aziende dovranno aderire a nuove linee guida nelle seguenti aree chiave:

  1. Legalità, correttezza e trasparenza
  2. Limitazione delle finalità
  3. Riduzione dei dati al minimo
  4. Precisione
  5. Limiti di archiviazione
  6. Integrità e confidenzialità
  7. Responsabilità

 

Cosa comporteranno le modifiche al regolamento generale sulla protezione dei dati?

Di seguito presentiamo un elenco dei maggiori cambiamenti che interesseranno le aziende< europee o estere con attività nell'UE.


PORTATA TERRITORIALE  Secondo una delle modifiche, il regolamento riguarderà sia le aziende con sede all'interno dell'Unione Europea sia quelle con base all'estero, che però elaborano nei propri sistemi i dati personali di cittadini europei. Le aziende estere dovranno quindi nominare un rappresentante interno all'UE che sarà responsabile del mancato rispetto del GDPR e di eventuali violazioni in merito.

Cosa comporta

  • Le aziende che elaborano dati di cittadini UE fuori dall'Unione, quindi, dovranno provvedere ad adeguarsi.

MINORI
L'elaborazione dei dati personali di minori (sotto i 16 anni) è ritenuta valida solo se autorizzata da un genitore/tutore legale. Inoltre, nel caso di minori, vige un maggiore “Diritto all'oblio”.

Cosa comporta

  • Pertanto, sarà necessario richiedere sempre la data di nascita del cliente.
  • In caso di minori di 16 anni, sarà necessario richiedere l'autorizzazione dei genitori.

CONSENSO
Il GDPR aumenterà i requisiti per il consenso: gli utenti riceveranno una esplicita richiesta di consenso alla raccolta e all'eventuale esportazione dei propri dati personali fuori dall'UE. Inoltre, avranno il diritto di ritirare il proprio consenso in qualsiasi momento.

Cosa comporta

  • Bisognerà quindi prevedere un'area ben visibile sul sito in cui spiegare come si intende usare, elaborare ed esportare i dati in

DIRITTI DEGLI INTERESSATI
L'introduzione del nuovo regolamento consentirà agli utenti di avere accesso ai loro dati personali in mano alle aziende in qualsiasi momento, in modo da richiederne la correzione in caso di errori. Come per i minori, poi, anche gli adulti avranno il “Diritto all'oblio”, e potranno quindi chiedere all'azienda di eliminare tutti i dati in suo possesso su di loro.

Cosa comporta

  • I dati dovranno essere archiviati e tenuti in una location centralizzata, ed essere sempre accompagnati da informazioni totalmente verificabili su dove e quando sono stati raccolti.
  • Crea una procedura per consentire agli utenti di richiedere la documentazione relativa ai loro dati e per aggiornare o eliminare quanto presente in archivio.
  • Ogni volta che i dati registrati subiscono una modifica, devi poter fornire un registro di prova che indichi da chi sono stati modificati e quando.

 

RESPONSABILI DELLA PROTEZIONE DEI DATI
Le organizzazioni dovranno nominare un responsabile della protezione dei dati (interno o esterno). Questa figura dovrà essere coinvolta in tutte le questioni più significative relative alla protezione dati.

Cosa comporta

Gli enti che avranno bisogno di una tale figura comprendono:

  • Pubbliche autorità;
  • Aziende che utilizzano il monitoraggio sistematico;
  • Aziende che si occupano dell'elaborazione in scala di dati personali sensibili.

 

VIOLAZIONI
Nell'eventualità di violazioni in materia di sicurezza dei dati, secondo il GDPR le aziende dovranno notificare le autorità (PDA) entro 72 ore, oltre a informare gli utenti i cui dati personali siano stati violati.

Cosa comporta

  • Gli investimenti nella sicurezza saranno sempre più importanti.
  • Dovrai creare un sistema di allerta immediata per le violazioni.
  • Le aziende dovranno elaborare una procedura con programmi di reazione rapida per i protocolli di violazione dei dati.

 

TRASFERIMENTO DEI DATI
Per quanto riguarda il trasferimento di dati personali fuori dall'UE, il GDPR applica alle aziende le stesse regole della Direttiva sulla protezione dei dati personali, che in genere si limita a proibire il passaggio di informazioni. Con il nuovo regolamento, le aziende che intendono condividere dati con altri enti hanno il dovere di informarli di eventuali errori, per consentire loro di correggerli.

Cosa comporta

  • Bisognerà stabilire politiche di diffusione e distribuzione dei dati.
  • Dovrai scegliere con attenzione i tuoi partner in materia di dati e informare chi si occupa dei controlli.
  • Dovrai impostare un sistema che consenta uno scambio granulare di flussi di dati, proprietà e una persona di contatto per gestire gli aggiornamenti.

 

Cosa succede in caso di mancata conformità al regolamento generale sulla protezione dei dati?

Aziende e decisori dovrebbero cominciare subito a prendere provvedimenti per garantire la conformità al regolamento generale sulla protezione dei dati. Si pensa che gli enti che non saranno in grado di conformarsi alle clausole ivi previste entro il 2018 possano incorrere in multe estremamente salate di circa 20 milioni di euro (o pari al 4% del loro fatturato totale).

Techedge si impegna ad aiutare le aziende a capire come accogliere al meglio queste modifiche e minimizzarne l'impatto sulla propria attività. Contattaci per avere maggiori informazioni sull'impatto che il GDPR potrebbe avere sulla tua organizzazione!


Iscriviti!