GDPR : Otto miti da sfatare.

20 Marzo 2018

GDPR : Otto miti da sfatare.

Mancano appena otto mesi alla piena operatività del GDPR, prevista per il 25 maggio 2018. Una scadenza che agita non poco le aziende. Anche perché intorno al nuovo regolamento europeo sulla protezione dei dati personali circolano non poche leggende urbane, non dissipate neppure dalle decine di convegni organizzati e dagli articoli pubblicati.

Per sfatare alcuni dei miti più diffusi quando si parla di GDPR (di cui si parlerà ampliamente in occasione di un apposito evento promosso da Arrow Ecs, in programma il prossimo 10 ottobre a Roma) Digital4Trade ha chiesto ad Anna Italiano, avvocato e legal consultant di P4I, di spiegare cosa preveda realmente la normativa.

Mito numero 1: Le sanzioni sono l’aspetto più significativo del GDPR:

È indubbio che le sanzioni costituiscono il grande spauracchio che porta le aziende a informarsi sugli obblighi previsti dalla normativa e ad adeguarsi di conseguenza. In realtà è vero che dal regolamento sono previsti dei massimali effettivamente molto alti (fino a 20 milioni di euro e sino al 4% del fatturato mondiale totale annuo dell’azienda). Ma in realtà queste cifre sono appunto soltanto dei massimali: ad oggi non si può dire come queste misure saranno declinate all’interno dei diversi Stati membri. In Italia il legislatore non ha ancora stabilito l’entità delle sanzioni, presumibilmente dovrà farlo entro la data in cui il regolamento sarà pienamente applicabile, cioè dal 25 maggio 2018. Quindi bisognerà aspettare questa data per capire quali saranno le sanzioni definitive in vigore nel nostro Paese. La minaccia di essere sottoposti a sanzioni in caso di inadempimento è forse la conseguenza più immediatamente percepibile ma non è certo l’unica: la perdita di dati, i rischi per la sicurezza, i connessi danni all’immagine sono degli aspetti non certo irrilevanti.

Mito numero 2: Il GDPR interessa soltanto le imprese europee

Non è così. Anche le aziende extraeuropee che offrono beni e servizi ai cittadini europei dovranno assolutamente conformarsi alle nuove prescrizioni, a prescindere da dove hanno la sede fisica o da dove risiedono i loro server. Dunque fa fede il principio della cittadinanza dei dati dell’interessato. Per quanto riguarda la Brexit, anche in caso di futura uscita dall’Ue, le aziende britanniche dovranno comunque conformarsi al principi sanciti dal Regolamento in relazione al trattamento dati dei cittadini comunitari.

Mito numero 3: Il GDPR è una normativa troppo complicata e complessa

Di per sé non si tratta di una normativa troppo complicata e complessa. Sicuramente è una normativa che va a incidere pesantemente su una materia su cui sinora non c’era stata la necessaria attenzione e sensibilità. Non è complesso perché gli adempimenti richiesti per conformarsi ai nuovi obblighi dettati dal legislatore europeo sono chiari. Inoltre, al contrario della normativa oggi vigente che sarà sostituita, semplifica molto per un certo verso gli adempimenti previsti. Ad esempio, in materia di sicurezza si passa dal precedente approccio alla compliance in senso di checklist, poiché la normativa vigente stabilisce ciò che è obbligatorio mettere in atto, ad un approccio alla compliance intesa come modello di gestione, che implica una maggiore responsabilizzazione del titolare del trattamento. Quest’ultimo, in autonomia, dovrà decidere qual è il livello di sicurezza adeguato rispetto ai trattamenti che andrà a porre in essere. Quindi il GDPR, offrendo delle linee guida, , demanda all’azienda che recepisce la normativa il compito di concretizzarle in azioni che ne garantiscano il rispetto, con il dovere di giustificare però costantemente la ratio delle proprie scelte di adeguatezza.

Mito numero 4: IL GDPR riguarda soltanto le grandi imprese

Essendo la normativa-cardine in materia di trattamenti dei dati personali, il GDPR ovviamente riguarda tutti coloro che trattano dati personali. Dunque interessa piccole e medie imprese così come le grandi organizzazioni. Queste ultime ovviamente sono più preparate e si sono mosse per tempo per recepirlo, anche perché per esse gli adempimenti da effettuare sono molto più onerosi. Vero è che all’interno della normativa sono previste delle semplificazioni per le Pmi. Per esempio, le aziende al di sotto dei 250 dipendenti sono esonerate dall’obbligo di redigere il registro dei trattamenti. Invece, l’obbligatorietà della figura del Data protection Officer è basata sulla tipologia di trattamenti effettuati piuttosto che sulla dimensione dell’impresa.

Mito numero 5: È vero che il GDPR faciliterà la vita ad attori come Google e Facebook?

Al contrario la normativa è anzi volta ad assicurare più rigore al trattamento dei dati personali svolto dai cosiddetti Over The Top, ovvero Facebook, Google e quanti altri, cioè a coloro cioè che utilizzano le reti per offrire i propri servizi a una platea vastissima e globale. Infatti, se si considerano tematiche come portabilità dei dati e diritto all’oblio, è chiaro che l’attenzione del legislatore europeo si è rivolta soprattutto a questi attori, piuttosto che alle piccole imprese.

Mito numero 6: Il nuovo GDPR mi costringerà a ripensare da zero la mia impostazione in materia di dati personali

Probabilmente costringerà le imprese a mettere in piedi un modello di gestione della compliance rispetto altrattamntodei dati personali e, sicuramente, obbligherà a rivedere l’approccio rispetto alla data protection. La normativa richiede non solo un adeguamento nell’immediato, cioè entro la scadenza del 25 maggio 2018, ma anche una gestione e supervisione costante, quindi bisognerà pensare a mettere in piedi dei processi aziendali che permettano di presidiare gli adempimenti normativi nel tempo.

Mito numero 7: La mia azienda ad oggi non ha ancora fatto nulla per il GDPR. Ormai è troppo tardi per intervenire

In realtà non è mai troppo tardi per adeguarsi, anzi, come dice il proverbio, meglio tardi che mai. Anche se un’azienda dovesse rendersi conto di non riuscire a centrare il termine del 25 maggio del 2018, deve attivarsi da subito così da potersi mettersi in regola quanto prima con le prescrizioni del GDPR. Il consiglio è di iniziare quanto prima possibile, cercando di adeguare i trattamenti dati più rilevanti e più rischiosi all’interno dell’azienda. Il mito da sfatare è che ci possono essere dei rinvii rispetto alla data di scadenza, visto che il legislatore europeo sinora si è dimostrato meno propenso alle deroghe rispetto a quello italiano.

Mito numero 8: Per adeguarsi al Gdpr occorre effettuare degli investimenti importanti da un punto di vista economico

Dipende dalla dimensione aziendale e dal numero dei trattamenti posti in essere. Non è escluso che l’adeguamento alla normativa comporti degli investimenti in termini di sicurezza abbastanza rilevanti. Ad esempio per la criptazione dei dati, che è una misura caldamente consigliata dal regolamento e particolarmente opportuna per tutelarsi in relazione a trattamenti rilevanti o rischiosi. Oppure per la necessità di mettere in piedi dei sistemi per la cancellazione dei dati, una misura obbligatoria da mettere in atto una volta scaduti i termini previsti per la loro conservazione.

Potrebbero
interessarti

challenges-GDPR

11 Agosto 2021

Attività Ispettiva Garante Luglio- Dicembre 2021

Limitatamente al periodo luglio-dicembre 2021, l’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, è indirizzata:

challenges-GDPR

8 Gennaio 2021

Le sfide del GDPR: La testimonianza della regione Marche

Continua la serie di video interviste ad opera dell’Associazione ASSO DPO ai DPO referenti regionali e territoriali di tutta Italia. 

challenges-GDPR

30 Luglio 2020

GARANTE PER LA PRIVACY, STANZIONE E’ IL NUOVO PRESIDENTE

Eletto all’unanimità, dovrà vigilare su Gpdr, 5G, smart working e dati di aziende e consumatori. Ginevra Cerrina Feroni vicepresidente

challenges-GDPR

24 Marzo 2020

COVID-19 E AMBIENTI DI LAVORO:Gli adempimenti privacy da rispettare

challenges-GDPR

8 Gennaio 2020

Seminario 7 Febbraio

La Total Service è lieta di presentare e invitarvi al #seminario di #formazione #gratuito in tema #privacy, #antiriciclaggio e #231/01.

challenges-GDPR

3 Ottobre 2019

ANTIRICICLAGGIO : 1/01/2020 Sei pronto ? …

1 GENNAIO 2020  APPLICAZIONE DELLE REGOLE TECNICHE  Con un comunicato stampa del 23 gennaio 2019, il Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili (CNDCEC) ha annunciato l’approvazione del documento “Obblighi di valutazione del rischio, adeguata verifica della clientela, conservazione dei documenti, dei dati e delle informazioni: regole tecniche ai sensi dell’art. 11, co. […]

challenges-GDPR

26 Luglio 2019

GDPR E VIDEOSORVEGLIANZA : L’EDPB PUBBLICA LE LINEE GUIDA

Sono state rese note dall’European Data Protection Board (EDPB) le linee guida 3/2019 del 12 luglio 2019 sul trattamento dei dati personali in merito ai servizi di videosorveglianza.

challenges-GDPR

29 Maggio 2019

VIDEOSORVEGLIANZA : Tutto ciò che occorre sapere su sanzioni e agevolazioni

Il numero crescente di furti e di effrazioni in aziende, attività commerciali ed abitazioni, ha fatto sì che l’esigenza di un sistema di videosorveglianza diventasse priorità di imprenditori come di privati cittadini, ma è fondamentale conoscere ogni dettaglio perché il tema va ad impattare sulla privacy delle persone.

challenges-GDPR

15 Maggio 2019

Il Garante Privacy presenta la relazione annuale 2018

L’Autorità Garante per la protezione dei dati personali, composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici, Licia Califano, presenta oggi la Relazione sull’attività svolta nel 2018.

challenges-GDPR

26 Febbraio 2019

CORSO DPO : Percorso Formativo Riconosciuto UNI11697:2017

Vuoi Fare della Privacy la tua professione ? Partecipa al corso per diventare DPO Data Protection Officer

challenges-GDPR

13 Febbraio 2019

GESTIONE AFFITTI – PRIVACY DOPPIA PER L’AMMINISTRATORE

Il Garante nazionale della Privacy, in riferimento all’ Art 12 del Regolamento Ue 16/679, ha ritenuto che il condominio venisse inquadrato come collettività dei condomini di cui  si compone, che sono essi stessi ‘’ contitolari di un unico, complessivo trattamento dei dati, del quale l’amministratore ha solo la concreta gestione (documento n. 1053868 del 16 […]

challenges-GDPR

8 Febbraio 2019

Consulenti del lavoro: quando sono responsabili del trattamento dei dati

Newsletter n.449 del 7 Febbraio 2019 Precisazioni del Garante privacy dopo il nuovo Regolamento UE 

challenges-GDPR

20 Novembre 2018

Fattura elettronica bocciata dal Garante Privacy

Il Garante privacy all’Agenzia delle entrate: la fatturazione elettronica va cambiata I trattamenti di dati previsti dal 1 gennaio 2019 possono violare la normativa sulla protezione dei dati. Sproporzionata raccolta di informazioni e rischi di usi impropri da parte di terzi

challenges-GDPR

16 Novembre 2018

Pubblicata la lista DPIA del Garante

Pubblicata dal Garante Italiano l’Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679

challenges-GDPR

5 Settembre 2018

Pubblicazione Decreto Legislativo 101 del 10/08/2018

Ieri 04/09/2018 è stato pubblicato in Gazzetta Ufficiale il D.Lgs 101 del 10/08/2018 per l’adeguamento della normativa nazionale D.Lgs 196/2003 al GDPR.

challenges-GDPR

16 Maggio 2018

Comunicazione dei dati del DPO

In base all’articolo 37, paragrafo 7 del Regolamento UE 2016/679 occorre che i soggetti pubblici e privati comunichino al Garante per la protezione dei dati personali il nominativo del Data Protection Officer, se designato.

challenges-GDPR

4 Aprile 2018

CORSO DPO 2018

CORSO DI ALTA SPECIALIZZAZIONE DATA PROTECTION OFFICER – MANAGER PRIVACY- PRIVACY SPECIALIST : Nuove professioni per l’Europa

challenges-GDPR

29 Dicembre 2017

Valutazione d’impatto sulla protezione dei dati

Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il regolamento 2016/679 obbliga i […]

challenges-GDPR

29 Dicembre 2017

Piano Ispettivo Garante : secondo semestre 2017 e risultati primo semestre

Nelle scorse settimane l’Autorità ha varato il piano di accertamenti ispettivi per il secondo semestre 2017

challenges-GDPR

4 Dicembre 2017

GDPR : Da Maggio STOP ai trattamenti differenziati

Antonello Soro, Garante Privacy, ha affermato che “dal 25 maggio, non ci saranno più parti dell’Europa in cui i grandi operatori internazionali potranno godere di un trattamento differenziato rispetto a quello della Germania o dell’Italia”

challenges-GDPR

28 Novembre 2017

GDPR: Cambio approccio alla nuova Normativa

Molte sono le novità introdotte dal nuovo Regolamento UE 2016/679 sulla Protezione dei dati personali noto con l’acronimo “GDPR- General Data Protection Regulation” : dal Registro dei trattamenti, alla nomina del Data Protection Officer, dalla sicurezza dei dati personali, all’obbligo di notifica del Data Breach, ai nuovi diritti degli interessati, alla Privacy by Design e […]

challenges-GDPR

28 Novembre 2017

Autorita’ privacy UE : varate altre Linee guida sul nuovo Regolamento

Le Autorità di protezione dati europee hanno adottato nella riunione plenaria della settimana scorsa, alcuni importanti provvedimenti, utili ad interpretare in modo corretto e uniforme in tutti i Paesi dell’Unione europea il Regolamento 2016/679, in vista della piena applicazione che avverrà il 25 maggio 2018.

challenges-GDPR

1 Novembre 2017

Approvazione Regolamento Europeo

Lo scorso 4 maggio è stato pubblicato sulla Gazzetta Ufficiale della Comunità Europea il “Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale […]

challenges-GDPR

17 Settembre 2017

Job Act

Il 17 settembre 2015 è stato pubblicato il testo definitivo della riforma dell’art.4 dello Statuto dei lavoratorI

challenges-GDPR

17 Settembre 2017

Modulo Unificato Istanza alla DTL

E’ stato pubblicato sul sito del Ministero del Lavoro il Modulo Unificato Istanza di Autorizzazione all’Installazione di impianti di videosorveglianza e all’installazione e utilizzo di impianti e apparecchiature di localizzazione satellitare GPS a bordo di mezzi aziendali ai sensi dell’art.4 della legge 20 maggio 1970 n.300 (Statuto dei Lavoratori)

challenges-GDPR

25 Maggio 2016

Allarme Cryptolocker

Le minacce provenienti dal web sono sempre più raffinate ed al contempo pericolose. Non ultima, ma sicuramente una delle più temute negli ultimi periodi, il Trojan Software (comunemente denominato virus) CryptoLocker.