GDPR (General Data Protection Regulation), è il regolamento generale sulla protezione dei dati approvato dall’Unione Europea con lo scopo di restituire ai cittadini degli Stati Membri il controllo dei propri dati personali.
L’obiettivo principale del GDPR è proteggere i diritti di proprietà individuale dei cittadini UE e, rispetto alla precedente normativa UE sulla privacy, la nuova legislazione amplia sensibilmente la definizione di ciò che costituisce i dati personali e privati fino a includere non solo la documentazione finanziaria, della pubblica amministrazione e medica, ma anche le informazioni di natura genetica, culturale e sociale.
Il GDPR è entrato in vigore SENZA ULTERIORI PROROGHE il:
TUTTE le aziende che operano entro i confini della COMUNITÀ EUROPEA, o al di fuori della UE, ma che hanno relazioni commerciali con i cittadini UE, e che acquisiscono dati sensibili o personali sui cittadini UE nel corso della propria attività.
L’obbligo prevede ovviamente anche la protezione dei dati sensibili e personali dei propri dipendenti (es. codice fiscale, appartenenza alle Categorie Protette, sesso, etc).
Pertanto QUALSIASI AZIENDA dove necessariamente essere adeguata a questa nuova regolamentazione.
Il GDPR include numerose normative in merito alla raccolta, archiviazione ed uso delle informazioni personali, che impongono alle aziende l’adozione di specifiche misure, sia di natura informatica/tecnologica, sia di natura legale/burocratica.
Questo obbliga le imprese ad indirizzare correttamente e con urgenza i propri investimenti verso adeguati strumenti informatici e procedurali.
Per non incorrere in pesanti sanzioni pecuniarie, l’azienda dovrà essere sempre in grado di dimostrare l’ottemperanza e la messa in atto di tutte le misure necessarie all’adeguamento GDPR, soprattutto dal punto di vista LEGALE e burocratico.
Per questo motivo, in ogni azienda deve essere nominato un DPO o agente per la protezione dei dati, con specifiche qualità professionali in ambito legale e informatico, e che riferirà direttamente alla carica aziendale più alta. Avrà il compito di vigilare sul rispetto delle normative all’interno dell’azienda e farà da collegamento diretto con l’autorità di vigilanza. La figura del DPO può essere anche esterna all’azienda (consulente); è invece obbligatoria per gli enti pubblici e per le organizzazioni che soddisfano uno o entrambi i requisiti richiesti dall’articolo 37 della normativa.
Mentre, a livello INFORMATICO, per la conformità al GDPR sono necessari: