Sanzioni e ispezioni in stand-by fino al 10 maggio 2019

Il Regolamento Europeo è entrato in vigore il 25 maggio 2016 e si applicherà in tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale le aziende dovranno adeguarsi alla nuova legge sulla privacy.

Il decreto attuativo approvato dal Consiglio dei Ministri l’8 agosto 2018 dà tempo fino al 10 maggio 2019 per mettersi in regola.


Il nuovo Regolamento generale sulla protezione dei dati GDPR (General Data Protection Regulation) rafforza il controllo dei cittadini dell’Unione Europea sui propri dati personali, ed impone alle aziende di rafforzare le misure adottate per la protezione dei dati e la tutela della privacy adottate.


NOVITÀ RISPETTO AL PRECEDENTE REGOLAMENTO

NUOVA INFORMATIVA.

Il testo dell’informativa dovrà essere redatto in modo da poter essere facilmente comprensibile anche per minori di 16 anni e dovrà indicare nuove informazioni prima non previste come ad esempio origine dei dati utilizzati, tempo di conservazione, dati di contatto DPO, ove presente.


NUOVI DIRITTI DELL’INTERESSATO.

Diritto all’oblio.

Ogni individuo potrà richiedere la cancellazione dei propri dati in possesso di terzi (per motivazioni legittime). Questo potrà accadere ad esempio in ambito web quando un utente richiederà l’eliminazione dei propri dati in possesso di un social network o di altro servizio web.

Diritto alla portabilità.

L’interessato potrà richiedere la portabilità dei suoi dati personali ad altro titolare del trattamento.


NUOVI RUOLI.

Oltre al Titolare Responsabile del trattamento viene introdotta una nuova figura ossia quella del RPD (Responsabile Protezione Dati) o DPO (Data Privacy Officer) che dovrà avere particolari competenze e che laddove previsto avrà un ruolo centrale nella gestione della privacy aziendale.

A lui spetterà infatti la valutazione dei rischi della privacy sull’organizzazione aziendale, la formazione e sensibilizzazione di tutti coloro che gestiscono i dati.

Potrà essere una figura interna all’azienda o anche un soggetto terzo. La sua designazione è obbligatoria in tutti i casi previsti dall’art 37 ovvero organi pubblici o anche privati in cui le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; laddove non previsto questo ruolo sarà in capo al titolare/responsabile.


IL PRINCIPIO DELLA ACCOUNTABILITY.

Con esso, si sposta sul Titolare del trattamento l’onere di dimostrare l’adozione, senza convenzionalismi, di tutte le misure privacy adottate nel rispetto del Regolamento Europeo.


IL PRINCIPIO DELLA "DATA PROTECTION BY DEFAULT AND BY DESIGN" (ART. 25).

Ossia necessità di configurare il trattamento prevedendo fin dall'inizio le garanzie indispensabili "al fine di soddisfare i requisiti" del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.


NUOVI OBBLIGHI PER LE AZIENDE

Documento di valutazione di impatto del trattamento dei dati: (DPIA)

Trattasi di una valutazione del rischio di impatti negativi sulle libertà e i diritti degli interessati.

Tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione, tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi.

All'esito di questa valutazione di impatto il titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare l'autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale.

Registri delle attività di trattamento.

Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio, devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all'art. 30.

Si tratta di uno strumento fondamentale non soltanto ai fini dell'eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un soggetto pubblico indispensabile per ogni valutazione e analisi del rischio.


QUALI GLI ADEMPIMENTI OBBLIGATORI DA PREDISPORRE ENTRO IL 25 MAGGIO 2018 ?

  • Valutazione dell’attuale sistema privacy adottato in azienda in funzione di verificare il livello di conformità al nuovo dettato legislativo
  • Adeguamento/Modifica di strumenti quali informative, consenso, Nomina/delega dei vari ruoli aziendali per la gestione della privacy
  • Predisposizione del documento di valutazione dei rischi (DPIA) nei casi di rischio elevato (o nei casi espressamente indicati nel GDPR), elaborazione di procedure di immediata comunicazione per il caso di violazione dei dati all’Autorità competente)
  • Designazione, nei casi espressamente previsti dal Regolamento, del Data Protection Officer (DPO)
  • Mappatura degli accessi
  • Creazione di procedure efficienti per l’accesso ai dati personali da parte dell’interessato, anche per l’ipotesi di modifica/rettifica/cancellazione;richieste di portabilità avanzate dall’interessato
  • Creazione del Registro delle attività di trattamento o di documentazione equivalente laddove non richiesta obbligatoriamente

Servizi Axioma

  1. Analisi preliminare: E’ lo strumento attraverso il quale verifichiamo la conformità della gestione della privacy aziendale relativamente a quanto richiesto dalla normativa. Consiste nella presa visione visione dell’intera documentazione privacy utilizzata in azienda, esaminando, in particolare, le modalità di effettuazione del trattamento, la mappatura degli accessi, la conservazione dei dati e la loro custodia. Inoltre, specifica attenzione viene dedicata al sistema informatico al fine di assicurarci che esso sia a norma e che i dati siano presidiati da sufficienti misure di sicurezza.
  2. Redazione della documentazione privacy e delle relative procedurein particolar modo:
    • La stesura del Privacy Impact Assessment (PIA), ossia il documento. di valutazione dell’impatto del rischio relativi ai pericoli correlati al trattamento dati e le misure idonee a neutralizzarli o, almeno, gestirli.
    • La creazione del Registro delle attività di trattamento dei dati presenti in azienda.
    • La stesura/modifica delle varie informative privacy per gli interessati al trattamento dati.
    • L’individuazione dei ruoli e dei responsabili e la stesura delle relative lettere di nomina nonché la designazione nei casi espressamente previsti dal Regolamento, del Data Protection Officer (DPO).
    • L’elaborazione di procedure di immediata comunicazione per il caso di violazione dei dati all’Autorità competente.
  3. Formazione a tutto il personale coinvolto nel trattamento dei dati (per ulteriori approfondimenti sulla formazione clicca qui)