GDPR, Il regolamento in pdf

Scarica il regolamento generale sulla protezione dei dati (GDPR) completo in pdf

Ormai non sentiamo parlare che di questo dai nostri clienti, il fatidico GDPR; pochi sanno se anche il mondo del non profit, e in generale il terzo settore, sarà coinvolto e, ve lo anticipiamo, la risposta è sì!

Tutti coloro che conservano dati personali di terzi devono adeguarsi!

Cerchiamo quindi di fare un po’ di chiarezza sulla questione del trattamento dei dati personali e della privacy.

Il regolamento generale sulla protezione dei dati (RGPD, in inglese GDPR, General Data Protection Regulation – Regolamento UE 2016/679) è un regolamento promulgato dalla Commissione Europea allo scopo di proteggere i dati dei cittadini all’interno e all’esterno dell’Unione europea.

Dopo diversi anni di perfezionamento e discussione, il regolamento è stato ufficialmente approvato dal Parlamento europeo il 14 aprile 2016.

L’UE ha concesso un periodo di transizione di due anni affinché le organizzazioni raggiungessero la conformità.

A partire dal 25 maggio 2018, pesanti multe saranno imposte nei confronti di aziende e ONP che non rispetteranno le linee guida stabilite dal GDPR.

Chi sarà interessato dal GDPR?

Il GDPR ha implicazioni di vasta portata per tutti i cittadini dell’Unione europea e per le imprese e organizzazioni non profit che operano all’interno dell’UE, indipendentemente dalla sede fisica. Se le imprese sperano di offrire beni o servizi ai cittadini dell’UE, saranno soggette alle sanzioni imposte dal GDPR. Inoltre, qualsiasi organizzazione che detiene dati personali di cittadini dell’UE può essere ritenuta responsabile ai sensi del GDPR.

Che tipo di informazioni rientreranno nel regolamento generale sulla protezione dei dati?

Ecco un piccolo riassunto, non esaustivo, di ciò che devi assolutamente proteggere per essere in regola con la normativa:

  • Nome
  • Foto
  • Indirizzo email
  • Post sui social media
  • Informazioni mediche personali
  • Indirizzi IP
  • Coordinate bancarie

NOTA BENE: il GDPR copre tutte le informazioni che possono essere classificate come dati personali o che possono essere utilizzate per determinare la tua identità. Il consenso dei genitori sarà richiesto per elaborare tutti i dati relativi ai bambini di età inferiore ai 16 anni.

Il regolamento specifica le entità che saranno influenzate dal GDPR. La formulazione include specificamente processori di dati e controllori di dati.

Cosa significa questo?

All’interno dell’organizzazione deve essere nominato un responsabile della protezione dei dati, seguito, se necessario, da una persona esperta di legislazione e pratiche relative alla protezione dei dati al fine di verificare l’osservanza interna al GDPR.

È necessario nominare un Responsabile della protezione dei dati se la propria organizzazione raccoglie, elabora o memorizza quantità di dati personali di cittadini dell’UE. Un Responsabile della protezione dei dati è inoltre sempre necessario per le organizzazioni e autorità pubbliche.

Non importa se le informazioni vengono archiviate digitalmente o in una posizione fisica.

Quali sono le sanzioni per chi non si mette a norma?

Le organizzazioni che non rispetteranno il GDPR saranno soggette a multe a partire dal 25 maggio 2018. Ciò può significare cose diverse per le organizzazioni non profit a seconda del livello di infrazione. Nella fascia alta, potrebbe essere richiesto di pagare addirittura fino al 4% del proprio fatturato globale, o un massimo di 20 milioni di euro, a seconda di quale sia il più alto. Le società possono anche essere multate al 2% per non aver preso le misure appropriate per tenere in sicurezza i dati sensibili. In definitiva, la multa dipenderà dalla natura dell’infrazione:

  • ammonizione scritta in casi di una prima mancata osservanza non intenzionale;
  • accertamenti regolari e periodici sulla protezione dei dati;
  • una multa fino a 10 milioni di euro, o fino al 2% del volume d’affari globale, registrato nell’anno precedente, nei casi previsti dall’articolo 83, paragrafo 4, o fino a 20 milioni di euro o fino al 4% del volume d’affari nei casi previsti dai paragrafi 5 e 6.

Che cos’è una violazione dei dati?

Una violazione dei dati è una situazione in cui un’entità esterna ottiene (illegalmente o per compravendita) l’accesso ai dati di un utente senza il permesso dell’individuo. Le violazioni dei dati spesso implicano l’uso malevolo dei dati nei confronti degli utenti.

In caso di violazione dei dati, il GDPR specifica che le società devono fornire una notifica adeguata. L’organizzazione interessata ha 72 ore di tempo per informare l’agenzia competente per la protezione dei dati e deve informare le persone colpite “senza indebito ritardo”.

Hai un sito web? Ecco cosa devi controllare per essere a norma!

Se hai un sito web, vista la pesantezza delle sanzioni, è bene che tu controlli che queste sue componenti rispettino la nuova normativa sulla privacy:

  • moduli di registrazione utenti (ad esempio ad aree protette del sito o alle newsletter)
  • sezione commenti (se per commentare un post sul tuo sito è necessaria la registrazione)
  • moduli di contatto (tutti quei moduli che servono per contattarti attraverso il sito e che raccolgono dati come mail e nominativi)
  • analisi dei log del traffico (che dati raccoglie sulla navigazione il tuo sito?)
  • plugin utilizzati (i plugin di terze parti che hai installato sul tuo sito sono a norma?)

Quindi le cose che dovrai assolutamente controllare sono:

  • il modo con il quale gestisci e memorizzi i dati sensibili (che siano raccolti su un banchino di raccolta fondi fisico o sul tuo sito web non fa differenza)
  • i cookie e, nello specifico, l’informativa che appare sul sito per il consenso sui cookie: il consenso deve rispettare i nuovi requisiti previsti dalla nuova legge sui dati personali
  • privacy policy, che necessariamente deve essere aggiornata per renderla conforme alla nuova legge europea.

Leave a Reply