Il GDPR (General Data Protection Regulation – Regolamento UE 2016/679) che è entrato in vigore il 25 Maggio 2018 in tutti i paesi membri dell’Unione Europea, impone obblighi stringenti sul trattamento e la gestione dei dati dei Cittadini Europei e richiede una distruzione sicura dei documenti che contengono informazioni riservate e cambia il concetto di conformità.
Non si è sicuri si si è conformi, ma si è CONFORMI se si è SICURI.
Spetta al titolare (e al responsabile dei dati) determinare quale sia il corretto livello di sicurezza da adottare per essere conformi al regolamento.
Di seguito un estratto delle principali modifiche sulla protezione dei dati:
- Capitolo 3, sezione 1, articolo 13 GDPR, Obbligo di informazione e diritto all’informazione
Se vengono raccolti dati personali, la persona responsabile deve fornire e garantire una documentazione completa per lo scopo, la durata, la memorizzazione e la cancellazione.
- Capitolo 3, sezione 3, articolo 17 GDPR, Diritto all’oblio
La persona responsabile ha l’obbligo di eliminare immediatamente e del tutto i dati raccolti. Deve garantire che tutti i link a questi dati personali o copie siano irrevocabilmente distrutti. Per le eccezioni, vedere il paragrafo 3, per es. In caso di adempimento di un obbligo di legge, come l’elaborazione degli ordini.
- Capitolo 4, sezione 2, articolo 33 GDPR, Notifiche di violazioni della protezione
In caso di violazione della protezione dei dati personali, la persona responsabile segnalerà immediatamente l’incidente all’autorità di vigilanza competente ai sensi del capitolo 6, sezione 1, articolo 51.
- Capitolo 8, articolo 83, sezione 4 e 5 GDPR, Inflizione di sanzioni
Il quadro sanzionatorio è stato fortemente intensificato. In caso di violazione delle disposizioni, può essere inflitta una multa fino a 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente
Inoltre la distruzione dei documenti deve avvenire nel rispetto delle norme DIN 66399 (livello di sicurezza) e UNI EN 15713:2009 (grado di distruzione).
NORMA UNI EN 15713:2009 – DISTRUZIONE SICURA DI DOCUMENTI RISERVATI – CODICE D’USO
La norma UNI EN 15713:2009 è la prima norma italiana a trattare l´argomento della distruzione e successivo smaltimento di supporti contenenti dati personali. Il rispetto di tale normative permette di limitare al massimo la diffusione involontaria dei dati trattati, escludendo la possibilità di eventuali accuse di dolo.
NORMA DIN 66399 – CRITERI DI SICUREZZA PER I SUPPORTI CONTENENTI DATI SENSIBILI
La norma DIN 66399 tiene conto della varietà di supporti di memoria contenenti i dati personali, definendo i criteri di sicurezza per tutti i tipi di supporti utilizzati, le varie classi di protezione di cui necessitano le varie tipologie di dati trattati, i requisiti che devono avere le macchine ed i processi impiegati nella distruzione.
Per determinare il grado di protezione si esamina il genere di dati trattati, deducendo il grado di protezione adatto e di conseguenza la classe di protezione prevista.