Descrizione
Il GDPR introduce il concetto di «Data Processor» separandolo dal «Data Controller» (ex Titolare del Trattamento). Un «controller» è l’entità che determina le finalità, le condizioni e i mezzi di elaborazione dei dati personali, mentre il «processor» è un’entità che elabora dati personali per conto del controllore. Il Data Processor è un ruolo ricoperto dalla maggior parte dei fornitori di Servizi Cloud. Se quindi la Direttiva UE finora in vigore poneva obblighi e sanzioni solo nei confronti del Titolare del trattamento dei dati personali (Data Controller), il GDPR impone invece anche ai Data processor, così come individuati dal titolare del Trattamento, di mettere in atto misure tecniche e organizzative per essere compliant al Regolamento stesso, in tutti i casi in cui affidi a terzi il trattamento dei dati personali.
L’obbiettivo della nuova regolamentazione è quello di assicurare che all’interno del processo di gestione e custodia dei dati personali del «Data Controller» siano incorporate adeguate misure di protezione dei dati «by default» and «by design».
Inoltre il GDPR sposta l’attenzione sul Continuous Risk Assessment per l’organizzazione che custodisce i dati – data controller – e richiede che qualunque organizzazione esterna che trattii dati – data processor – sia in linea con le regole del GDPR.
PUNTI CHIAVE DELLA NORMATIVA:
• Sanzioni fino a €20 mln o al 4% del fatturato worldwide. Esteso l’ambito territoriale, impatto anche per aziende extra UE. • Data Breach. Obbligo di comunicazione entro 72h (art. 29)
• Privacy By Design. Il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento
• Codice Di Condotta. L’adesione da parte del responsabile del trattamento a un codice di condotta approvato può essere utilizzata come elemento per dimostrare le garanzie sufficienti
GDPR: a chi si applica?
• L’applicazione del GDPR non dipende dalla dimensione dell’impresa ma dalle attività di trattamento effettuate.
• Attività che presentano alti rischi che possono impattare sulle liberta e diritti dei terzi, siano esse portate avanti da SME o grandi Società, comportano i processi e le previsioni del Regolamento
• Nel caso in cui i dati trattati avvengono su larga scala
DLGS 101/2018
• Emanato dal CDM il 04.08.2018, con entrata in vigore il 19.09.2018
• Non abroga il vecchio Codice bensì lo novella e lascia al Garante il compito non semplice di aiutare le PMI nella loro adozione con l’emanazione di apposite procedure semplificate
Il GDPR introduce quindi nuovi obblighi e sanzioni che impongono l’adozione di specifiche misure; in questo contest le Imprese hanno la necessità di indirizzare correttamente gli investimenti verso strumenti procedurali e informatici che siano realmente compliant con la nuova normative, come redigere una Data Protection Impact Assessment (DPIA) e un Audit sull’as is per affrontare una corretta gap analysis.