Il Regolamento Generale sulla Protezione dei Dati(GDPR) entrerà in vigore il 25 maggio e modificherà completamente il modo in cui le aziende elaborano e gestiscono i dati e darà agli individui un maggiore controllo su chi raccoglie ed elabora i loro dati, per cosa vengono utilizzati e come vengono protetti.

Nonostante la scadenza di maggio si avvicini sempre di più, ci sono ancora diversi miti che circondano il GDPR e che devono essere sfatati.

I principali miti sul GDPR

Mito 1: ogni azienda deve nominare un DPO

Questo è falso. Solo alcune organizzazioni dovranno nominare un responsabile della protezione dei dati (DPO) ai sensi del GDPR.

 Devi nominare un DPO se:

  • sei un’autorità pubblica
  • le tue attività principali richiedono un monitoraggio su larga scala, regolare e sistematico degli individui
  • le tue attività principali consistono nel trattamento su larga scala di categorie particolari di dati o di dati relativi a condanne penali e reati

Il DPO deve essere un esperto di GDPR e di pratiche di privacy, in quanto è responsabile del monitoraggio e del reporting della conformità al GDPR.

I DPO devono aiutare a guidare i Titolari e i Responsabili del trattamento dei dati verificando la conformità interna e suggerendo, se necessario, le opportune raccomandazioni correttive. I DPO devono inoltre agire in modo indipendente all’interno dell’organizzazione.

Mito 2: il GDPR riguarda solo le aziende europee

Questo è falso. Sebbene il GDPR sia un regolamento europeo, ha implicazioni più ampie. Non importa in quale parte del mondo ti trovi: se la tua azienda ha sede al di fuori dell’UE ma effettua transazioni commerciali con un individuo con sede in Europa, il GDPR sarà applicato.

Allo stesso modo, se un’azienda ha sede al di fuori dell’UE ma ha attività europee, deve essere conforme. Il GDPR riguarda i dati personali e la località in cui la persona viene raccolta. È questo che determina l’applicabilità del regolamento.

Mito 3: il GDPR non si applicherà al Regno Unito a causa della Brexit

Questo è falso. Il GDPR sarà ancora in vigore dopo la Brexit. Il GDPR è stato concepito per regolamentare il modo in cui le organizzazioni trattano e controllano i dati personali dei cittadini dell’UE, indipendentemente dalla loro ubicazione. Il Regno Unito non uscirà dall’Unione Europea prima dell’aprile 2019, pertanto la legge europea continuerà ad essere applicata nel Regno Unito.

Mito 4: Le multe sono la più grande minaccia per la tua azienda

Questo è falso. Sebbene le organizzazioni che violano il GDPR possano incorrere in multe che possono arrivare fino al 4% del fatturato globale annuo o a 20 milioni di euro, le aziende non conformi devono affrontare una serie di altri problemi.

Il GDPR richiede alle organizzazioni di comunicare qualsiasi violazione dei dati personali all’autorità di vigilanza competente entro 72 ore dal rilevamento.  Se la violazione comporta un rischio elevato di ledere i diritti e le libertà di un individuo, anche quest’ultimo deve essere informato con effetto immediato.

L’incertezza e la perdita di dati potrebbero indurre i clienti ad abbandonare l’azienda e a passare alla concorrenza. La perdita di fiducia dei consumatori potrebbe a sua volta danneggiare la reputazione di un’azienda e causare una perdita di fatturato.

Mito 5: Il consenso è l’unico modo per trattare i dati

Questo è falso. Molte organizzazioni pensano che il consenso sia l’unica base giuridica per il trattamento dei dati personali. Il consenso è solo una delle sei finalità legittime richieste per il trattamento dei dati personali.

Ai sensi del GDPR, il “trattamento lecito” è possibile solo quando:

  • Esiste il consenso dell’interessato
  • Il trattamento è necessario per l’esecuzione di un contratto con l’interessato
  • Il trattamento è necessario per adempiere a un obbligo legale
  • L’elaborazione è necessaria per proteggere gli interessi vitali di un soggetto interessato o di un’altra persona
  • Il trattamento è necessario per l’esecuzione di un compito svolto nell’interesse pubblico o nell’esercizio dei poteri ufficiali conferiti al responsabile del trattamento.
  • Il trattamento è necessario ai fini dei legittimi interessi perseguiti dal responsabile del trattamento o da una terza parte, tranne nel caso in cui gli interessi prevalgano sugli interessi, i diritti o le libertà dell’interessato.

Se non sei sicuro che la tua azienda sia sulla strada giusta per la conformità al GDPR, contattaci per scoprire come possiamo aiutarti. MetaPrivacy è stato progettato appositamente per fornire un approccio ottimale alla conformità dei dati personali.