Consulenza Privacy

Nuovo Regolamento Privacy in attuazione dal 25/05/2018

Che cos’è la nuova privacy (GDPR)

Il Parlamento Europeo, nell’aprile 2016, ha approvato il Regolamento Generale sulla Protezione dei Dati (GDPR) [Regolamento (UE) 2016/679], che è entrato in vigore il 24/05/2016 e viene attuato dal 25 maggio 2018.

Il GDPR, che offre una maggiore tutela alle persone fisiche e rende le aziende più responsabili nell’uso dei dati personali, rappresenta lo sviluppo più importante nella legislazione relativa alla protezione dei dati.

Grazie a questo nuovo Regolamento la protezione dei dati assume una posizione di prima linea tra i processi aziendali, con un impatto significativo sulla gestione delle informazioni personali relative sia a clienti che a dipendenti.

Le aziende, per soddisfare i propri requisiti di responsabilità, devono dimostrare di essere conformi ai principi del GDPR. Tale conformità è da valutarsi, ad esempio, sul sistema di protezione dati, sulle politiche, sulla formazione del personale, sugli audit interni relativi al trattamento dati e sulle politiche delle risorse umane.

Tra le attività che sono necessarie dal 25 maggio 2018 vi segnaliamo:

  • obbligo di tenuta del registro delle attività di trattamento dati per tutte le aziende con più di 250 dipendenti;
  • obbligo di tenuta del registro delle attività di trattamento dati per le aziende che hanno meno di 250 dipendenti ma che trattano dati sensibili;
  • valutazione d’impatto sulla protezione dei dati personali quando vi sono rischi elevati per i diritti e libertà delle persone fisiche in modo da poter dimostrare l’adeguamento dell’azienda al Regolamento;
  • rendere una nuova informativa agli interessati al trattamento dei dati indicando, in modo chiaro e conciso, i loro diritti. A loro volta gli interessati dovranno rilasciare apposito consenso espresso;
  • obbligo di nomina del Responsabile della Protezione dei Dati – Data Protection Officer (“D.P.O.”) quando previsto dalla normativa.
  • Obbligo di segnalazione di violazione dei dati personali.

Sanzioni previste

Il mancato adeguamento al nuovo Regolamento prevede l’applicazione di ingenti sanzioni.

Il principio generale è che una violazione del regolamento dovrà comportare una imposizione di sanzioni equivalente in tutti gli Stati membri; a tale scopo le recenti linee guida pubblicate il 3 ottobre dal Gruppo articolo 29 analizzano i vari parametri in base ai quali determinare l’ammontare della sanzione.

L’entità economica delle sanzioni dipende dal tipo di violazione che si è verificata; esse possono arrivare a 10 milioni di euro o al 2% del fatturato annuo (se superiore) e possono essere elevate anche fino a 20 milioni di euro o al 4% del fatturato annuale(se superiore) nei casi più gravi.

La soluzione proposta

Per adeguarsi correttamente alla normativa, la figura chiave a cui rivolgersi è il D.P.O. (Data Protection Officer), ossia un consulente con comprovata esperienza e preparazione nel settore privacy e processi; altrimenti ci si può affidare ad aziende che si occupano di consulenza in materia di privacy.

Analisi preliminare

  • Analisi dell’azienda;
  • Analisi trattamenti e flussi;
  • Censimento dati personali e sensibili, archivi cartacei e banche dati digitali;
  • Check up sistema informatico

Consulenza

  • Stesura dell’ “organigramma della privacy”
  • Individuazione e designazione dei “responsabili” interni del trattamento dei dati
  • Individuazione e designazione dei “responsabili esterni” (studi professionali, call center, servizi in outsourcing)
  • Individuazione e designazione degli incaricati al trattamento dei dati
  • Individuazione degli autorizzati al trattamento di dati sensibili ed eventuale autorizzazione all’utilizzo di elaboratori
  • Individuazione delle modalità attraverso le quali comunicare l’elenco aggiornato dei responsabili

Elaborazione parte documentale

  • Studio e redazione delle informative (clienti, fornitori, dipendenti, etc) e delle formule di richiesta del consenso
  • Stesura atti di designazione dei responsabili ed incaricati al trattamento dei dati, con relative istruzioni scritte
  • Stesura del Documento Programmatico di Sicurezza (redazione dps)
  • Stesura ed invio telematico dell’atto di notificazione al Garante (se necessario)

Misure minime di sicurezza

  • Elaborazione delle norme di sicurezza da adottare per la loro conservazione degli archivi cartacei e delle banche dati digitali in cui sono conservati i dati
  • Indicazioni riguardanti l’adeguamento alle misure minime di sicurezza per i trattamenti dati cartacei
  • Indicazioni riguardanti l’adeguamento alle misure minime di sicurezza per i trattamenti effettuati con strumenti elettronici

Formazione del personale

  • Corso di formazione del personale riguardante la normativa in materia di Privacy

Consulenza ed assistenza anni successivi

  • Aggiornamento del Documento Programmatico sulla Sicurezza
  • Verifica dell’osservanza delle norme organizzative e delle procedure di trattamento adottate per gli adempimenti
  • Verifica dell’osservanza e del regolare impiego delle misure di sicurezza
  • Consulenza ai vari settori dell’impresa e assistenza nella redazione di atti
  • Revisione periodica delle informative, delle formule di richiesta del consenso ed elaborazione di nuove informative eventualmente necessarie
  • Aggiornamento e pubblicazione dell’elenco dei responsabili
  • Stesura e consegna dei verbali di ispezione

Per saperne di più contattaci con il form qui sotto: