LE INFORMAZIONI PERSONALI DEVONO ESSERE PROTETTE
Dal 25 maggio 2018 è entrato in vigore il Regolamento UE 2016/679, meglio conosciuto come GDPR (General Data Protection Regulation) “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” ad oggi definitivamente operativo in tutti gli stati dell’Unione.
Esso sancisce e regolamenta il principio che “le informazioni personali devono essere protette”.
Il GDPR si applica a qualsiasi Organizzazione (persona giuridica) che abbia una sede in almeno uno stato dell’Unione Europea o Azienda straniera che processi o memorizzi dati personali di cittadini europei, mentre non si applica ai trattamenti di dati personali effettuati da persone fisiche nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività di tipo commerciale o professionale.
Anche se radicalmente differente sotto alcuni aspetti, il GDPR non ha del tutto abrogato la precedente legge nazionale sulla Privacy, che resta in vigore per quanto non gestito direttamente del nuovo Regolamento Europeo: ciò comporta che alcuni articoli del “vecchio” D.Lgs. 196/2003 sono rimasti validi, così come altri interventi regolatori emanati dalla nostra Authority, purché compatibili e non in contrasto con le nuove regole (es. provvedimento sulla videosorveglianza).
Tuttavia sono state introdotte diverse novità, tra cui:
- È disciplinata in modo più dettagliato la responsabilità del titolare, che deve essere in grado di dimostrare di avere adottato le misure tecniche ed organizzative adeguate (non più le sole misure minime dell’allegato B del Lgs. 196/2003) per garantire la conformità al Regolamento (art. 24).
- Il titolare deve implementare misure idonee a proteggere i dati a partire dal momento della determinazione delle attività di trattamento (by design), assicurando che siano utilizzati solo i dati effettivamente necessari per le finalità per cui sono trattati (by default) (art. 25).
- È istituito l’obbligo di tenuta, anche informato elettronico, di un registro dei trattamenti con specifici contenuti, qualora gli stessi possano presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati, o dati personali relativi a condanne penali e a reati (art. 30).
- È sancito l’obbligo, qualora i trattamenti possano comportare un rischio elevato per i diritti e le libertà dell’interessato, di effettuare una valutazione del rischio derivante dagli stessi e, sulla base degli esiti di tali analisi, adottare le opportune misure di sicurezza (art. 35).
- È stabilito che eventuali violazioni ai dati personali, “Data Breach”, siano notificate all’autorità di controllo entro 72 ore dal rilevamento dell’incidente, inoltre qualora ciò impatti sulla liberta e sui diritti dell’interessato anche quest’ultimo deve essere informato (art. 33).
- È rafforzato l’obbligo di fornire informative chiare e semplici, al fine di dare maggior peso al controllo degli interessati rispetto al trattamento dei loro dati personali, e le informative sono estese anche ai minori di 16 anni, con intervento prestato dal responsabile genitoriale (art. 8).
- È introdotto il diritto per l’interessato di ottenere dal titolare del trattamento l’oblio dei propri dati personali al ricorrere di determinate specifiche ipotesi (art. 17).
- È definito il diritto della portabilità dei dati, che consente all’interessato di ricevere i propri dati in formato strutturato leggibile da sistema automatizzato e consente di farli trasferire da un titolare all’altro (art. 20).
- È istituita la figura del D.P.O. per taluni titolari e/o per taluni trattamenti che ricadano in specifiche condizioni (art. 37).
Affinchè le Aziende possano assicurarsi la compliance a tale Regolamento, la soluzione da noi offerta è quella di implementare un Modello Organizzativo che contempli:
- una chiara mappatura delle aree aziendali con i conseguenti ruoli decisionali;
- l'identificazione dei trattamenti effettuati e i relativi flussi informativi, corredati da una specifica valutazione d'impatto;
- definizione e personalizzazionede delle procedure previste dal Regolamento;
-adozione delle opportune misure di sicurezza atte a garantire la sicurezza dei dati trattati;
- implementazione e gestione degli adempimenti applicabili in base alla mole e alle vulnerabilità dei dati trattati;
- gestione di eventuali confronti con l'Autorità competente.
Come avrete capito, il GDPR richiede un livello avanzato di gestione della sicurezza dei dati. Implementare un modello organizzativo personalizzato e conforme al Regolamento implica un'analisi dettagliata di ogni flusso di dati all'interno dell'Azienda. Grazie alla nostra esperienza, siamo in grado di sviluppare soluzioni su misura che assicurano la compliance anche nelle situazioni più complesse.
Le attività che andremo a svolgere sono composte di una parte presso la sede del Cliente, ossia audit finalizzati all'acquisizione delle informazioni necessarie a garantire un elevato grado di personalizzazione del Modello Organizzativo (richiamato tra l'altro nel concetto di "Privacy by Design" esplicitamente espresso dal Regolamento), e l'altra presso il nostro Studio, necessaria a studiare ed implementare le possibili soluzioni, mirate a garantire la Compliance di tale Modello Organizzativo a quelle che sono le prescrizioni del Regolamento UE 679/2018.