GDPR 25 maggio 2018
Regolamento Europeo 679 del 2016
Che cos'è il GDPR
La legge pubblicata in Gazzetta Ufficiale il 4 maggio del 2016 ha reso esecutivo il Regolamento Generale sulla protezione dei dati (General Data Protection Regulation o in sigla GDPR) il 25 maggio 2018 in tutti i paesi membri dell'Unione Europea.
Il Regolamento pone particolare attenzione alla sicurezza dei dati dei cittadini europei rafforzando le misure per la loro gestione ed accessibilità da parte degli utenti che operano od utilizzano il sistema informativo di un'azienda pubblica o privata.
A chi si applica
Il Regolamento deve essere rispettato da tutte le aziende che hanno sede nell'Unione Europea e dalle aziende che, pur avendo sede all'esterno dell'Unione Europea, trattano o mantengono i dati dei cittadini dell'Unione Europea.
Come possiamo aiutarti
Innovationweb si pone come unico interlocutore nella gestione delle diverse problematiche della governance dei dati offrendo servizi di Data Managment, Data Protection, Consulenza legale sui dati, formazione del DPO e del Personale che utilizza il sistema informativo.
Chi è il Responsabile per la protezione dei dati?
Il Responsabile per la protezione dei dati (Data Protection Officer o in sigla DPO), è la persona sui cui ricade la responsabilità relativa all'elaborazione, protezione ed applicazione della legislazione sulla protezione e conservazione dei dati personali e il loro accesso da parte dei cittadini.
Il DPO deve essere nominato: tale figura può essere interna o esterna.
Il DPO può essere eventualmente affiancato da altri Operatori qualificati deputati al monitoraggio ed osservazione sistematica dei dati elaborati,
coaudiovati da almeno una persona esperta di legislazione in merito al trattamento dei dati personali, nel caso in cui tale funzione non possa essere ottemperatata dal DPO o dagli Operatori preposti.
Nel caso in cui i dati personali siano stati compromessi, il DPO informerà l'utente stesso e le autorità di vigilanza entro 72 ore tramite email con informazioni sull’entità della violazione, i dati interessati, eventuali impatti sul Servizio e il piano d’azione adottato con le misure volte a rendere sicuri i dati, e limitare eventuali effetti avversi sui dati personali.
Per “violazione dei dati personali” si intendono violazioni di sicurezza che portano ad un’accidentale o illegale distruzione, perdita, alterazione, divulgazione non autorizzata, o accesso ai, dati personali trasmessi, archiviati o altrimenti elaborati in relazione alla fornitura del Servizio.
Le figure menzionate non vanno confuse con gli Incaricati al trattamento dei dati personali che coincidono normalmente con coloro che gestiscono i dati dei Clienti e le loro prenotazioni, non soltanto sui diversi canali di vendita ma anche sui vostri gestionali interni.
Ambito
L'ambito è quello Europeo e si applica anche ad aziende estere che trattano dati di residenti europei.
Sanzioni
Le sanzioni possono essere disposte con:
- ammonizione scritta nel caso di innosservanza del Regolamento, non intezionale;
- multe fino a 10 milioni di euro o fino al 2% del fatturato globale riferito all'anno precedente, nei casi previsti dall'art. 83, par. 4;
- multe fino a 20 milioni di euro o fino al 4% del fatturato globale nei casi previsti dai par. 5 e par. 6.
In sintesi l'azienda deve:
- proteggere i dati personali dei clienti da data breach o da accessi non autorizzati;
- istruire il personale dipendente sulla nuova normativa;
- adottare una politica di governance e data protection a livello globale ed adeguata al grado di rischio;
- nominare il DPO, interno od esterno, se necessario;
- dotarsi di strumenti di monitoraggio e di prevenzione di attacchi.
In sintesi i clienti devono:
- poter accedere ai loro dati personali;
- essere informati su come vengono utilizzati e protetti;
- essere informati tempestivamente in caso di furto;
- avere garanzie dal DPO sull'applicazione della normativa definita nel Regolamento.