Tratto dallo speciale:

Orientamenti UE sul nuovo GDPR

di Barbara Weisz

scritto il

GDPR in vigore dal 25 maggio: dalla UE nuovi chiarimenti sugli obblighi delle PMI e guide online per imprese e cittadini sulla protezione dei dati personali secondo le nuove direttive.

Per aiutare le PMI a mettersi in conformità con il nuovo Regolamento UE sulla Privacy (GDPR) in vigore dal 25 maggio 2018 in tutti gli Stati membri, Bruxelles destina 2 milioni di euro in misure ad hoc e pubblica online nuovi materiali informativi per cittadini e imprese.

=> Adempimenti GDPR, PMI senza conformità

Gli obiettivi del Regolamento sono la libera circolazione dei dati, la tutela della vita privata, il rafforzamento della fiducia dei consumatori e la loro sicurezza.

GDPR: cosa cambia

  • Norme unificate per garantire certezza giuridica e protezione dei dati in tutta la UE
  • Stesse norme per tutte le imprese che offrono servizi nella UE, anche con sede extra-UE
  • Più diritti per i cittadini: (informazione, accesso, oblio…)
  • Portabilità dei dati: i cittadini potranno trasferire i propri dati da un’impresa all’altra
  • Più protezione contro le violazioni, con notifica entro 72 ore all’autorità
  • Norme rigorose e multe dissuasive, fino a 20 milioni di euro o, nel caso di un’impresa, fino al 4% del fatturato annuo a livello mondiale.

Le regole del GDPR da applicare in azienda non dipendono dalla dimensione dell’impresa ma dalla tipologia di attività. Quelle che prevedono l’utilizzo dei dati sensibili richiedono l’utilizzo di maggiori accorgimenti per tutelare la privacy. Per esempio, una PMI (con meno di 250 dipendenti) non deve tenere traccia di tutti i dati dei clienti, a meno che la gestione dei dati non sia un’attività regolare, possa minacciare diritti o libertà individuali, riguardi dati sensibili o relativi al casellario giudiziario. Non è necessariamente obbligatorio, sempre per una PMI, avere un data protection officer (DPO), figura che è invece necessaria in tutti i casi sopra citati.

La protezione dei dati riguarda i cittadini, non i dati delle imprese (per i quali ci sono altre normative). Però ci sono casi in cui, ad esempio, informazioni su un’impresa individuali possa in realtà rappresentare dati sensibili per l’imprenditore, che è una persona fisica. In questo caso, quindi, si applica il Regolamento GDPR.

=> Privacy UE, le nuove regole marketing

Alcune regole fondamentali che le imprese devono rispettare: regole chiare e trasparenti sul modo in cui utilizzano i dati, deve esserci un motivo specifico, legato all’attività, per cui l’impresa ha bisogno dei dati, motivo che deve essere dichiarato. Non si possono chiedere dati che non siano strettamente legate alle proprie attività e ai motivi specifici sopra richiamati. I dati sono sempre accurati e aggiornati. I dati non possono essere conservati per un periodo più lungo del necessario. L’azienda deve dotarsi di tecnologie e misure di sicurezza adeguate alla protezione dei dati.

commissione UE