La nuova normativa UE 2016/679 per il GDPR (General Data Protection Regulation) è ufficialmente entrata in vigore il 25 maggio 2018. L’obiettivo del GDPR è quello di rafforzare la tutela dei dati personali dei cittadini dell’Unione Europea grazie ad una serie di regole (99 + 173 considerando) valide in tutti gli Stati membri su come le aziende raccolgono e trattano i dati personali degli utenti.

Art. 1 par. 2: Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali

Oltre ai dati personali, vanno analizzati e tenuti sotto controllo anche i dati generici, quelli biometrici e quelli relativi alla salute. In pratica tutti i dati che permettono l’identificazione di un utente/persona fisica.

  • Dati personali: tutte le informazioni relative alla persona fisica che può essere identificata tramite nome, cognome o altre caratteristiche di tipo fisiche, oppure dati rilasciati on line tramite siti web.
  • Dati genetici: sono i dati ottenuti tramite analisi di DNA e RNA da un campione biologico della persona fisica in questione.
  • Dati biometrici: possono essere radiografie o tac, o altri dati grazie ai quali è possibile identificare una sola persona fisica.
  • Dati riguardanti la salute: sia fisica che mentale, oppure informazioni su servizi di assistenza sanitaria.

Pertanto, tutti i dati dovranno essere messi sotto sicurezza dal titolare del trattamento e dal responsabile del trattamento che attraverso procedure tecniche e organizzative dovranno garantire un livello di sicurezza adeguato al rischio.

Il processo di adeguamento al GDPR si articola nelle seguenti fasi:

  1. Valutazione dello stato dell’organizzazione aziendale in merito al trattamento dei dati personali già raccolti e analisi della documentazione in uso;
  2. Individuazione dei ruoli e delle responsabilità dei soggetti che effettuano il trattamento, bisogna quindi indicare almeno il titolare ed il responsabile del trattamento;
  3. Eventuale individuazione e nomina di un Data Protection Officer (cd. DPO). La responsabilità principale di questa figura è quella di valutare e organizzare la gestione del trattamento di dati personali – e dunque la loro protezione – all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative europee e nazionali sulla privacy. Il DPO svolge non solo la funzione di supervisore interno, per dimostrare la conformità dei dati trattati rispetto alla normativa vigente, ma anche di agevolare la comunicazione relativa al trattamento dei dati sia verso il vertice dell’organizzazione sia verso l’esterno.
    Inoltre, il DPO può essere sia interno che esterno all’azienda ma in ogni caso è una figura indipendente rispetto all’organizzazione.

Creazione del registro dei trattamenti. Si tratta di un documento volto a tenere traccia dei trattamenti effettuati da parte del titolare e degli eventuali responsabili, e contiene:

  • le finalità del trattamento,
  • l’indicazione delle modalità di raccolta dei dati
  • l’eventuale descrizione dell’attività di profilazione dei dati
  • le categorie di interessati e dei dati personali,
  • i destinatari,
  • gli eventuali trasferimenti verso Paesi terzi
  • la durata del trattamento
  1. Definizione delle politiche di sicurezza e valutazione dei rischi. In questa fase bisogna procedere alla valutazione e all’attuazione di tutte le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR.
  2. Data Breach. In caso di accessi non autorizzati, perdita o furto di dati vi è l’obbligo di comunicare tempestivamente e, ove possibile, entro 72 ore sia agli interessati che alla competente autorità le suddette violazioni.
  3. DPIA: Valutazione d’impatto sulla protezione dei dati personali. Al fine di assicurare trasparenza nelle operazioni di trattamento dei dati personali e adeguata protezione agli stessi, la DPIA implica che il titolare effettui precise e adeguate valutazioni d’impatto. Attraverso tale istituto è possibile, di conseguenza, valutare gli aspetti relativi alla protezione dei dati, prima che questi vengano trattati.
  4. Generazione, stesura o modifica della documentazione contenente le risultanze dei punti precedenti, affinché sia completa ed aggiornata secondo le prescrizioni della nuova normativa.

Richiedi una consulenza

Dati Aziendali | Privacy e Cookie policy | Mappa del sito | OWA | FILE | ERP