Scatta, il 25 maggio 2018, il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation), relativo alla protezione, al trattamento e alla libera circolazione dei dati personali delle persone fisiche. Una novità di enorme portata che genera, in tutte le aziende - agenzie di viaggio incluse - grande preoccupazione per la sua complessità.
L'AIAV, nel corso degli ultimi mesi, ha lavorato per assicurare ai propri soci (ma anche a tutti gli AdV...) un sistema completo e garante degli obblighi imposti con la normativa. L'ha fatto grazie alla collaborazione di DYLOG che, per la nostra associazione, ha realizzato un protocollo di "certificazione" completissimo e facilmente realizzabile grazie all'assistenza telefonica di un consulente: si fissa l'appuntamento e, in breve, il documento è pronto!
Attenzione... Non si parla di quattro paginette in croce: il documento completo conta di circa 300 pagine e racchiude in se tutti gli elementi necessari:
1) Modello organizzativo del Sistema per la protezione dei dati e per la sicurezza delle informazioni (SGSI).
2) Report sull’adozione del GDPR.
3) R.E.A.T. Registri Estesi delle Attività di trattamento.
4) Accordi e Incarichi.
5) Registro delle Richieste e delle Comunicazioni con l’Interessato.
Il prodotto realizzato per l'AIAV da DYLOG prevede anche il corso di formazione per il titolare del trattamento dei dati, per il personale e per ogni altro soggetto debba essere obbligatoriamente formato. I Soci dell'AIAV riceveranno a giorni tutte le informazioni particolareggiate, mentre i non associati potranno scrivere per richiederle all'ufficio di coordinamento dell'associazione.
Ma precisamente, perché nasce il GDPR? A cosa serve? E cosa prevede?
Il GDPR nasce per dare certezza giuridica, armonizzare e semplificare le norme riguardanti il trasferimento di dati personali dall’UE verso altre parti del mondo. Inoltre, il Regolamento vuole rispondere alla necessità di adeguare i sistemi di sicurezza ai nuovi modelli di crescita sociale, economica e soprattutto tecnologica.
Cosa cambia, quindi, rispetto all'attuale regolamento generale sulla protezione dei dati? E come ci si può adeguare alla nuova normativa?
• Si introducono regole più chiare su informativa e consenso;
• Vengono definiti i limiti al trattamento automatizzato dei dati personali;
• Si pongono le basi per l’esercizio di nuovi diritti;
• Vengono definiti criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue;
• Si stabiliscono norme rigorose per i casi di violazione dei dati (data breach).
Le norme vengono imposte e applicate anche alle imprese situate fuori dall’UE - che dovranno quindi rispettarle - qualora queste offrano servizi o prodotti all’interno del mercato UE.
Il Regolamento introduce il diritto alla “portabilità” dei propri dati personali, che diventano quindi "trasferibili" da un titolare del trattamento a un altro. Fa eccezione il caso in cui i dati siano contenuti in archivi di interesse pubblico, come ad esempio le anagrafi. In questo caso il diritto non potrà essere esercitato. È ugualmente vietato trasferire i dati personali in Paesi extra UE o organizzazioni internazionali che non risultino rispondenti agli standard di sicurezza in materia di tutela.
Altra importante novità è il principio di "responsabilizzazione" dei titolari del trattamento (accountability), un approccio che attribuisce maggior considerazione ai rischi che un maldestro trattamento dei dati personali può causare agli interessati, titolari dei dati.
Qualora si verificasse una violazione dei dati personali (Data Breach), il titolare del trattamento dovrà darne immediata comunicazione sia al Garante che a tutti gli interessati, precisando le modalità che verranno attuate per contenere i danni. L'informazione agli interessati si potrà evitare quando si ritenga che la violazione non rappresenti un rischio elevato per i loro diritti, o quando siano state adottate le più ampie misure di sicurezza. Rispondere velocemente ed efficacemente ad un Data Breach vuol dire garantire appieno i diritti dei titolari dei dati e limitare l'ingente danno - anche economico - derivante dalla perdita dei dati (le sanzioni possono andare dai 20.000,00 ai 20.000.000,00 di euro...).
Ovviamente questa è solo una piccolissima parte di ciò che è e pretende il GDPR... ma noi siamo sempre presenti per aiutarvi!
, relativo alla protezione, al trattamento e alla libera circolazione dei dati personali delle persone fisiche. Una novità di enorme portata che genera grande preoccupazione per la sua complessità.){kind=link}