
Nuovo Regolamento Privacy in attuazione dal 25/05/2018
Che cos’è la nuova privacy (GDPR)
Il Parlamento Europeo, nell’aprile 2016, ha approvato il Regolamento Generale sulla Protezione dei Dati (GDPR) [Regolamento (UE) 2016/679], che è entrato in vigore il 24/05/2016 e viene attuato dal 25 maggio 2018.
Il GDPR, che offre una maggiore tutela alle persone fisiche e rende le aziende più responsabili nell’uso dei dati personali, rappresenta lo sviluppo più importante nella legislazione relativa alla protezione dei dati.
Grazie a questo nuovo Regolamento la protezione dei dati assume una posizione di prima linea tra i processi aziendali, con un impatto significativo sulla gestione delle informazioni personali relative sia a clienti che a dipendenti.
Le aziende, per soddisfare i propri requisiti di responsabilità, devono dimostrare di essere conformi ai principi del GDPR. Tale conformità è da valutarsi, ad esempio, sul sistema di protezione dati, sulle politiche, sulla formazione del personale, sugli audit interni relativi al trattamento dati e sulle politiche delle risorse umane.
Tra le attività che sono necessarie dal 25 maggio 2018 vi segnaliamo:
- obbligo di tenuta del registro delle attività di trattamento dati per tutte le aziende con più di 250 dipendenti;
- obbligo di tenuta del registro delle attività di trattamento dati per le aziende che hanno meno di 250 dipendenti ma che trattano dati sensibili;
- valutazione d’impatto sulla protezione dei dati personali quando vi sono rischi elevati per i diritti e libertà delle persone fisiche in modo da poter dimostrare l’adeguamento dell’azienda al Regolamento;
- rendere una nuova informativa agli interessati al trattamento dei dati indicando, in modo chiaro e conciso, i loro diritti. A loro volta gli interessati dovranno rilasciare apposito consenso espresso;
- obbligo di nomina del Responsabile della Protezione dei Dati – Data Protection Officer (“D.P.O.”) quando previsto dalla normativa.
- Obbligo di segnalazione di violazione dei dati personali.
Sanzioni previste
Il mancato adeguamento al nuovo Regolamento prevede l’applicazione di ingenti sanzioni.
Il principio generale è che una violazione del regolamento dovrà comportare una imposizione di sanzioni equivalente in tutti gli Stati membri; a tale scopo le recenti linee guida pubblicate il 3 ottobre dal Gruppo articolo 29 analizzano i vari parametri in base ai quali determinare l’ammontare della sanzione.
L’entità economica delle sanzioni dipende dal tipo di violazione che si è verificata; esse possono arrivare a 10 milioni di euro o al 2% del fatturato annuo (se superiore) e possono essere elevate anche fino a 20 milioni di euro o al 4% del fatturato annuale(se superiore) nei casi più gravi.
La soluzione proposta
Per adeguarsi correttamente alla normativa, la figura chiave a cui rivolgersi è il D.P.O. (Data Protection Officer), ossia un consulente con comprovata esperienza e preparazione nel settore privacy e processi; altrimenti ci si può affidare ad aziende che si occupano di consulenza in materia di privacy.
Analisi preliminare
- Analisi dell’azienda;
- Analisi trattamenti e flussi;
- Censimento dati personali e sensibili, archivi cartacei e banche dati digitali;
- Check up sistema informatico
Consulenza
- Stesura dell’ “organigramma della privacy”
- Individuazione e designazione dei “responsabili” interni del trattamento dei dati
- Individuazione e designazione dei “responsabili esterni” (studi professionali, call center, servizi in outsourcing)
- Individuazione e designazione degli incaricati al trattamento dei dati
- Individuazione degli autorizzati al trattamento di dati sensibili ed eventuale autorizzazione all’utilizzo di elaboratori
- Individuazione delle modalità attraverso le quali comunicare l’elenco aggiornato dei responsabili
Elaborazione parte documentale
- Studio e redazione delle informative (clienti, fornitori, dipendenti, etc) e delle formule di richiesta del consenso
- Stesura atti di designazione dei responsabili ed incaricati al trattamento dei dati, con relative istruzioni scritte
- Stesura del Documento Programmatico di Sicurezza (redazione dps)
- Stesura ed invio telematico dell’atto di notificazione al Garante (se necessario)
Misure minime di sicurezza
- Elaborazione delle norme di sicurezza da adottare per la loro conservazione degli archivi cartacei e delle banche dati digitali in cui sono conservati i dati
- Indicazioni riguardanti l’adeguamento alle misure minime di sicurezza per i trattamenti dati cartacei
- Indicazioni riguardanti l’adeguamento alle misure minime di sicurezza per i trattamenti effettuati con strumenti elettronici
Formazione del personale
- Corso di formazione del personale riguardante la normativa in materia di Privacy
Consulenza ed assistenza anni successivi
- Aggiornamento del Documento Programmatico sulla Sicurezza
- Verifica dell’osservanza delle norme organizzative e delle procedure di trattamento adottate per gli adempimenti
- Verifica dell’osservanza e del regolare impiego delle misure di sicurezza
- Consulenza ai vari settori dell’impresa e assistenza nella redazione di atti
- Revisione periodica delle informative, delle formule di richiesta del consenso ed elaborazione di nuove informative eventualmente necessarie
- Aggiornamento e pubblicazione dell’elenco dei responsabili
- Stesura e consegna dei verbali di ispezione
Per saperne di più contattaci con il form qui sotto: