Il General Data Protection Regulation, meglio conosciuto con la sigla GDPR, è il regolamento europeo sulla Privacy, entrato in vigore il 25 maggio 2018.
Tra gli obblighi per le aziende, introdotti dal GDPR, ricordiamo:
- informative e richieste di consenso in forma chiara (articolo 7);
- l’istituzione di un registro delle attività (articolo 30);
- la notifica delle violazioni (data breach) entro 72 ore (articolo 33);
- la designazione di un «responsabile protezione dati» (articolo 37).
In sostanza, ogni azienda dovrà dotarsi di un registro di trattamento. Si tratta di un registro delle attività in cui si elencano le finalità dell’elaborazione dei dati, i destinatari e l’eventuale scadenza per la loro cancellazione.
Inoltre devono essere analizzati eventuali rischi o falle nel sistema della sicurezza dei dati, che va migliorato con uno specifico piano di attuazione periodico.
Questa analisi è finalizzata alla mappatura dei dati trattati e dei relativi responsabili e incaricati.
In questo modo è possibile aiutare le imprese a capire dove sono eventuali punti di debolezza all’interno dei propri archivi, con riferimento particolare a quelli informatici, stabilendo insieme ai titolari del trattamento un piano di miglioramento del sistema.
Inoltre sarà necessario adeguare anche l’infrastruttura informatica delle aziende Clienti ai requisiti GDPR.
In particolare le PMI dovranno dotarsi di misure congrue in merito ai seguenti macro aspetti, per quanto riguarda la sicurezza informatica:
- Log Management;
- Backup in cloud (su infrastruttura certificata) dei log, da conservare per 180 giorni;
- Il backup in cloud dei documenti. Questo aspetto è molto importante in determinati ambiti, soprattutto per le aziende che lavorano con la PA;
- Antivirus, firewall e tutto quello che è necessario per rendere sicura l’infrastruttura, in base al risk assessment effettuato.
Le sanzioni per chi non si adegua al GDPR
Se si viola il regolamento, scattano delle sanzioni e sono divise in due scaglioni: fino a un massimo di 10 milioni di euro per le imprese – o il 2% del fatturato (se superiore) – oppure fino a un massimo di 20 milioni – o il 4% del fatturato – sempre per le aziende e sempre in rapporto al giro d’affari.
La multa più “leggera” (10 milioni o 2% turnover) viene inflitta per la trasgressione di principi come la privacy by design (mancata protezione dei dati fin dalla progettazione) o la carenza di misure adatte a garantire un buon standard di sicurezza.
Quella più pesante (20 milioni o 4% del turnover) arriva in caso di violazione dei principi fondamentali, come la negazione del diritto all’oblio o l’opacità nella richiesta di consenso dei dati.
