Informativa PRIVACY – Regolamento generale sulla protezione dei dati (GDPR).

Privacy nuovi obblighi dal 25 maggio.

Il 25 maggio 2018 entrerà in vigore, in tutti i Paesi europei, il nuovo Regolamento Europeo in materia di protezione dei dati denominato «GDPR: General Data Protection Regulation».

Avremo quindi una normativa uguale in tutti i Paese della comunità, in grado di garantire efficacemente e concretamente il diritto alla tutela del dato personale.

Attenzione: di tutti i dati personali, non solo di quelli sensibili.

NON CI SARANNO PROROGHE

Infatti la scadenza è tassativa perché, trattandosi di un Regolamento dell’Unione Europea, è immediatamente efficace senza necessità di recepimento da parte dello Stato italiano.

COSA CAMBIA

Il Regolamento attua una tutela più concreta del dato personale del cittadino attraverso l’introduzione di limiti chiari e precisi sulla modalità di trattamento (cioè di gestione) del dato sia in Italia che all’estero.

Inoltre stravolge il concetto di tutela passando dall’attuale impianto basato su formalismi documentali e di ruoli ad un sistema basato sulla progettazione della tutela (Privacy by design).

CHI È OBBLIGATO A METTERSI IN REGOLA?

Tutti!

L’art. 2 del GDPR 679/2016 prevede che il Regolamento si applichi al trattamento dei dati personali (cioè del nome, codice fiscale, email, foto, indirizzo, partita iva, dati bancari, ecc.), in formato cartaceo e/o digitale, contenuti in archivio o destinati a esserci in futuro.

È dunque tenuto al rispetto della nuova normativa Privacy qualunque soggetto, sia persona fisica (professionista, medico, fisioterapista, dentista, ecc.), sia persona giuridica (società di persone o di capitali) che tratti dati personali di terzi per fini non personali e domestici.

Ciò significa che sono tenuti al trattamento dei dati personali in modo corretto e aderente al GDPR tutti coloro che svolgono un’attività economica, di lucro e non (comprese le associazioni).

 

Il GDPR si applica anche a società, aziende, imprese ed enti con sede legale fuori dall’UE, che trattano però dati personali di residenti nell’Unione Europea.

QUALI AZIONI INTRAPRENDERE?

È fondamentale effettuare una ricognizione all’interno della propria organizzazione per valutare lo stato dell’arte e valutare le azioni da porre in essere per adeguarsi al nuovo GDPR.

Concretamente, cosa fare?

È necessario verificare chi e come effettua la raccolta dei dati, chi può consultarli e/ o modificarli, come sono conservati, con quali strumenti e con quale diffusione è stata fornita l’informativa ed eventualmente acquisito il consenso al trattamento.

Importante anche analizzare l’organigramma funzionale dei ruoli e degli incarichi.

La mappatura va quindi analizzata alla luce del GDPR e si deve procedere alla redazione di una procedura gestionale che rispetti i nuovi limiti e i nuovi doveri introdotti dal Regolamento.

Questa operazione costituisce la novità essenziale. Solo attraverso l’attività descritta e la successiva progettazione del trattamento sarà possibile dimostrare di aver attuato la sicurezza del trattamento al meglio delle proprie possibilità.

La nuova normativa richiede una serie di attività che, in estrema sintesi, possono essere così riassunte:

  1. Formazione iniziale: organizzare delle brevi sessioni formative per i ruoli apicali della azienda. E’ necessario che le persone chiave delle struttura organizzativa del titolare siano consapevoli dell’impatto che avrà il Regolamento e delle attività da svolgere.
  2. Valutare se l’azienda deve nominare, o ritiene opportuno nominare, il Responsabile della protezione dati. In caso affermativo è necessario Individuare la persona (interna o esterna) che dovrà svolgere tali funzioni (c.d. DPO)
  3. Fare un nuovo censimento di tutti i trattamenti: documentare i dati personali trattati, individuare la base giuridica, verificare la durata della conservazione dei dati e a chi vengo comunicati
  4. Analizzare i rischi che gravano sui trattamenti e predisporre le misure di sicurezza «adeguate»
  5. Per i trattamenti che presentano un rischio elevato per i diritti e libertà delle persone fisiche effettuare la valutazione di impatto (PIA)
  6. Redigere il registro delle attività di trattamento
  7. Aggiornare tutte le informative
  8. Implementare il processo per l’esercizio dei diritti dell’interessato e per la gestione del data breach
  9. Aggiornare le designazioni dei responsabili esterni del trattamento
  10. Formazione finale di tutto il personale

 

PRINCIPI CARDINE DEL REGOLAMENTO

La nuova norma non parla più di misure minime di sicurezza. Sopprime infatti l’obbligo di adozione di misure minime di sicurezza (firewall, backup, ecc.) ma impone la valutazione del rischio rispetto al quale il titolare deve attuare dei comportamenti tutelanti per il trattamento dei dati.

Principio di accountability – art. 24: responsabilizzazione del titolare del trattamento Principio di privacy by design – art. 25: responsabilità progettuale

Quindi dovrà essere comprovata l’organizzazione per garantire la tutela del dato trattato

Principio del diritto all’oblio: possibilità di vedere cancellati i propri dati dal titolare del trattamento compresi i rimandi sui motori di ricerca. Secondo principio (default) – art. 25: obbligo di limitare, in modo predefinito, il trattamento dei soli dati necessari per eseguire il singolo lavoro

INFORMATIVA E CONSENSO

L’informativa deve essere trasparente, comprensibile e completa. Sarà quindi necessario riscrivere le “vecchie” informative alla luce della nuova normativa.

Il consenso deve essere richiesto per specifiche finalità e non in modo generico.

 

QUALI I RISCHI PER CHI NON SI ADEGUA?

Le sanzioni amministrative previste per chi non osserva il Nuovo Regolamento Europeo Privacy possono arrivare fino 20 milioni di euro o fino al 4% del fatturato aziendale registrato nell’anno precedente.

Le sanzioni penali sono in corso di definizione da parte del legislatore italiano.

 

Ci siamo organizzati per potervi supportare in vista dei nuovi obblighi.