GDPR – Nuovo Regolamento Europeo sulla Protezione dei Dati Personali

//GDPR – Nuovo Regolamento Europeo sulla Protezione dei Dati Personali

GDPR – Nuovo Regolamento Europeo sulla Protezione dei Dati Personali

Il 25 maggio 2018 entra in vigore il nuovo Regolamento Europeo sulla Protezione dei Dati Personali (GDPR), con l’obiettivo di armonizzare le leggi sulla riservatezza delle informazioni e sulla privacy di tutti i Paesi Europei e tenere al sicuro i dati personali e sensibili degli utenti processati dalle aziende.

 

Per chi è obbligatorio?

Il regolamento deve essere applicato da tutti i soggetti Pubblici e Privati che effettuano il trattamento di dati personali, archiviati in forma elettronica e/o cartacea. Tra questi, aziende, avvocati, commercialisti, organismi sanitari, istituzioni scolastiche, comuni e tutti coloro che trattano dati personali, anche mediante l’ausilio di strumenti elettronici.

 

Un nuovo approccio alla tutela della privacy

Il Regolamento introduce un nuovo approccio, essenzialmente basato sulla responsabilizzazione del titolare del trattamento. Si parla, infatti, di accountability e di privacy “dimostrabile”, in quanto l’onere della prova della conformità del trattamento grava sui titolari, che attraverso un’analisi preventiva e specifica della quantità e tipologia dei dati trattati mettono in atto le misure ritenute necessarie per garantire il rispetto della normativa.

Rispetto all’attuale Codice della Privacy (D.Lgs. 196/2003), normativa attualmente in vigore in Italia, il GDPR comporta alcuni nuovi adempimenti:

 

1. “Valutazione preventiva d’impatto” e “gestione del rischio” e delle correlate misure di sicurezza.

Questa procedura non è sempre richiesta obbligatoriamente, ma è uno strumento estremamente utile per organizzare le attività e per verificare la corretta applicazione della normativa, in quanto permette di stabilire a priori quando un trattamento può essere rischioso (concetto di privacy by default). La valutazione, infatti, va realizzata prima di porre in essere il trattamento e successivamente aggiornata, secondo un processo continuativo e costante.

 

2. Predisposizione di un registro delle attività di trattamento e dei dati personali raccolti (con una mappatura del trattamento).

Tenuto anche in formato elettronico dal Titolare del trattamento dei dati, tale registro dovrà essere messo a disposizione dell’Autorità Garante qualora lo richieda, così come è previsto dal Regolamento stesso. L’obbligo di redazione e adozione del registro non è generale: infatti il par. 5 dell’art. 30 specifica che la tenuta del registro non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati, o i dati personali relativi a condanne penali e a reati”

 

3. Definizione di nuovi ruoli aziendali connessi alla protezione dei dati personali.

Vengono introdotte le figure del “data controller” vs l’attuale “titolare” e “data processor” vs l’attuale “responsabile” ed “incaricato”. Tutte le nuove figure, in caso di inadempienza al regolamento, avranno responsabilità dirette di fronte alla Legge.

Una nuova figura prevista è quella del Data Protection Officer (DPO) che, in assenza di conflitti di interesse ed in piena indipendenza (es. nomina esterna), si occuperà di verificare l’attuazione e l’applicazione del Regolamento, fornire pareri sulla valutazione d’impatto (PIA), fungere da contatto diretto per qualsiasi problema degli interessati rispetto all’esercizio dei loro diritti e verso il Garante. La nomina non è sempre obbligatoria, ma comunque spesso opportuna, perché si tratta di un soggetto, dotato di esperienza e competenze specifiche, tenuto ad occuparsi specificamente dell’attuazione del Regolamento e a garantire la corretta applicazione della normativa all’interno della struttura e dell’organizzazione aziendale.

 

4. Maggiore trasparenza nella gestione dei dati.

Il Regolamento è ispirato ad una maggiore trasparenza nella gestione dei dati ed è finalizzato a dare un maggiore controllo al cittadino sull’utilizzo dei suoi dati. In particolare è riconosciuto:

– il diritto di essere informati in modo trasparente e dinamico sui trattamenti effettuati sui dati e l’adozione di politiche privacy e misure adeguate in conformità al Regolamento (principio di accountability- obbligo di rendicontazione);

– il diritto di accesso ai dati, che si configura quale diritto del soggetto interessato di richiedere e ottenere dal titolare del trattamento informazioni sul trattamento di dati personali che viene effettuato. A tale diritto si applica il principio della gratuità;

– il diritto di essere informati sulle violazioni dei propri dati personali (data breach). Tale comunicazione deve essere fatta anche al Garante;

– il diritto di ricevere in un formato di uso comune, e leggibile da dispositivo automatico, i dati personali forniti a un titolare del trattamento e di trasmettere tali dati a un altro titolare del trattamento senza impedimenti (portabilità dei dati);

– il diritto all’oblio, come diritto dell’interessato a veder cancellati i dati personali che lo riguardano;

– il diritto alla limitazione dei dati, che devono essere trattati solamente per le finalità previste e per il tempo strettamente necessario.

 

5. Sanzioni.

L’importanza del rispetto del regolamento è dimostrato dall’entità delle sanzioni previste, che nel peggiore dei casi possono arrivare fino a 20.000.000 euro, o fino al 4% del fatturato mondiale totale annuo sull’esercizio precedente.

 

Come adeguarsi?

Prima di partire in qualunque direzione, occorre che l’azienda rifletta, si ponga alcune domande fondamentali e faccia delle analisi preliminari del suo contesto aziendale raccogliendo tutte le informazioni, per capire la quantità e tipologia dei dati personali trattati.

Da questa prima analisi può scaturire il percorso da fare per un corretto processo di adeguamento, con l’idea di non doversi tanto interrogarsi su “Quanto costa un progetto di adeguamento al RGPD?” ma “Quanto costa non adeguarsi al RGPD?” o “Quanto costa perdere delle informazioni e subire una violazione?”.

 

Contattaci per informazioni o una proposta di consulenza in materia di adeguamento al GDPR:

info@innovaconsulenze.it

By | 2018-02-14T16:36:24+00:00 14 febbraio, 2018|News|0 Commenti

About the Author:

Scrivi un commento