Dal 25 Maggio 2018 è operativo il nuovo Regolamento Generale Europeo per la protezione dei dati personali (GDPR -General Data Protection Regulation)
A chi è rivolto il GDPR
Il nuovo regolamento riguarda tutte le aziende pubbliche e private che raccolgono dati personali.
​
Come adeguarsi al Regolamento:
In linea generale, enti e imprese dovranno agire su due fronti:
-
Dal lato tecnologico, dovranno dotarsi di sistemi di sicurezza evoluti per combattere le minacce cyber e di software adeguati al trattamento dei dati nel rispetto delle norme europee (ove necessario);
-
Dal lato organizzativo e legale, dovranno istituire un responsabile del trattamento dei dati (DPO, Data Protection Officer), che sia esperto nel settore in cui opera l'azienda e in grado di agire tempestivamente in caso di violazione dei dati: l'Autorità di controllo dovrà essere avvisata entro 72 ore, mentre oggi occorrono in media 205 giorni.
Il Garante della Privacy ha indicato tre priorità da adottare entro il 25 Maggio 2018:
-
Nominare in tempi stretti il titolare della protezione dei dati (DPO);
-
Istituire il Registro delle attività, in cui vanno descritti i trattamenti dati effettuati e le procedure per la sicurezza adottate;
-
Notificare la violazione dei dati personali entro 72 ore.
La nuova figura del DPO (Data Protection Officer)
Tutte le imprese dovranno nominare un titolare del trattamento dei dati entro il prossimo 25 maggio. Questa nuova figura professionale deve avere competenze normative, tecniche, comunicative, unite ad una profonda conoscenza del settore in cui opera l'azienda. Il suo ruolo sarà quello di controllare e coordinare le politiche sulla privacy.
Il titolare può essere una persona fisica nel caso di liberi professionisti e imprese individuali, mentre nel caso in cui il trattamento dei dati venga svolto da una società o da una pubblica amministrazione, il titolare sarà l'entità nel suo complesso. Sia le persone fisiche sia le società possono affidare gestione e controllo del trattamento ad un responsabile, anche esterno; tale designazione è facoltativa.
Unitamente al titolare del trattamento dei dati personali può essere nominato un responsabile che tratta i dati personali per conto del titolare.
​
Il Registro delle attività di trattamento svolto
Il Registro dei trattamenti sui dati personali è uno strumento indispensabile per gestire le informazioni in modo conforme al GDPR, ma anche per documentare e dimostrare tale conformità.
Sarà obbligatorio per tutte le imprese che superano i 250 dipendenti. Quelle che ne hanno meno possono non adottarlo, a meno che non trattino dati sensibili o categorie particolari (definite dagli articoli 9 e 10 del GDPR), e che il trattamento dei dati non presenti un rischio per i diritti e la libertà dell'interessato.
L'istituzione del Registro delle attività servirà a garantire:
-
il controllo della sicurezza sui dati personali;
-
il diritto all'oblio, cioè il diritto ad ottenere la cancellazione dei propri dati personali quando non servono più alle finalità per cui erano stati forniti;
-
la portabilità dei dati da un titolare ad un altro, semplificando molte pratiche burocratiche per l'interessato;
-
valutare ed analizzare i rischi dei trattamenti.
Sapere con esattezza quali trattamenti siano svolti in azienda, con quali modalità e quali siano le misure di sicurezza prese, permetterà infatti alle aziende di valutare se sono state adottate tutte le misure necessarie a garantire il rispetto della privacy.
Il registro è uno strumento utile per mappare i flussi di dati in modo ordinato e organizzato, verificare che tipo di rischi ci possano essere in relazione agli specifici trattamenti, individuare le criticità e valutare le azioni da intraprendere per minimizzare i rischi e garantire l'integrità e la riservatezza secondo le nuove regole.
Il registro quindi “non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali”. Per questo il Garante della Privacy invita tutte le imprese ad istituire il registro, indipendentemente dalle loro dimensioni.
​
Informativa privacy 2018
Oltre ad adeguare l'organizzazione aziendale, il nuovo regolamento GDPR richiede anche di aggiornare l'informativa sulla privacy del sito web. Gli utenti devono essere informati sull'utilizzo dei propri dati con un linguaggio chiaro e trasparente, facendo riferimento al "GDPR General Data Protection Regulation - Regolamento UE 2016/679".
In particolare, l'informativa deve spiegare:
-
in che modo e per quale scopo verranno trattati i propri dati personali;
-
se il conferimento dei propri dati personali è obbligatorio o facoltativo;
-
le conseguenze di un eventuale rifiuto a rendere disponibili i propri dati personali;
-
a chi saranno comunicati o se saranno diffusi i propri dati personali;
-
i diritti previsti dall'art. 7 del Codice;
-
chi è il titolare e (se è stato designato) il responsabile del trattamento.
Consenso al trattamento dei dati personali
Il nuovo regolamento GDPR richiede altresì di aggiornare il consenso al trattamento dei dati personali degli interessati.
Tale consenso deve essere:
- inequivocabile;
- libero;
- specifico;
- informato;
- verificabile;
- revocabile.
​
Sanzioni
Tra le caratteristiche salienti del nuovo Regolamento europeo sulla privacy (GDPR – General Data Protection Regulation), la parte sanzionatoria occupa, per l’interesse dei Titolari, un posto sicuramente di rilievo. Il “costo” di una mancata compliance normativa è infatti destinato a salire notevolmente (nei casi più gravi fino a 20 milioni di euro, o se superiore, fino al 4% del fatturato annuo)
​
Chiedi un preventivo compilando il form
​
​