Le cose da fare per adeguarsi al GDPR

Le aziende che desiderano adeguarsi agli obblighi previsti dal Codice Privacy e dal Regolamento Europeo Privacy devono predisporre:

  • Organigramma gestionale per le figure inerenti la Privacy
  • Nomina del responsabile del trattamento dei dati (da nominarsi internamente o esternamente, come previsto dal nuovo Regolamento Europeo)
  • Classificazione di dati che vengono trattati in azienda
  • Analisi dei Rischi presenti
  • Misure di Sicurezza previste
  • Registro delle attività privacy
  • Informativa Privacy (da aggiornare come previsto dal nuovo Regolamento Europeo)
  • Consenso Privacy (da aggiornare come viene previsto dal nuovo Regolamento Europeo)
  • Incarichi e Nomine Privacy, per la gestione delle responsabilità
  • Procedure e Istruzioni Privacy, per la gestione delle responsabilità
  • Formazione Privacy (previsto dal nuovo regolamento Europeo)
  • Relazione sul Sistema di Gestione Privacy (da aggiornare come previsto dal nuovo Regolamento Europeo)
  • Eventuale Notifica al Garante Privacy
  • Richieste di Autorizzazioni
  • Audit e Verifiche
  • Gestione Reclami e Ricorsi al Garante Privacy

Adeguamento al Regolamento GDPR 2016/679

La nuova normativa UE 2016/679 per il GDPR (General Data Protection Regulation) è ufficialmente entrata in vigore il 25 maggio 2018. L’obiettivo del GDPR è quello di rafforzare la tutela dei dati personali dei cittadini dell’Unione Europea grazie ad una serie di regole (99 + 173 considerando) valide in tutti gli Stati membri su come le aziende raccolgono e trattano i dati personali degli utenti.

Art. 1 par. 2: Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali

Oltre ai dati personali, vanno analizzati e tenuti sotto controllo anche i dati generici, quelli biometrici e quelli relativi alla salute. In pratica tutti i dati che permettono l’identificazione di un utente/persona fisica.

  • Dati personali: tutte le informazioni relative alla persona fisica che può essere identificata tramite nome, cognome o altre caratteristiche di tipo fisiche, oppure dati rilasciati on line tramite siti web.
  • Dati genetici: sono i dati ottenuti tramite analisi di DNA e RNA da un campione biologico della persona fisica in questione.
  • Dati biometrici: possono essere radiografie o tac, o altri dati grazie ai quali è possibile identificare una sola persona fisica.
  • Dati riguardanti la salute: sia fisica che mentale, oppure informazioni su servizi di assistenza sanitaria.

Pertanto, tutti i dati dovranno essere messi sotto sicurezza dal titolare del trattamento e dal responsabile del trattamento che attraverso procedure tecniche e organizzative dovranno garantire un livello di sicurezza adeguato al rischio.

Il processo di adeguamento al GDPR si articola nelle seguenti fasi:

  1. Valutazione dello stato dell’organizzazione aziendale in merito al trattamento dei dati personali già raccolti e analisi della documentazione in uso;
  2. Individuazione dei ruoli e delle responsabilità dei soggetti che effettuano il trattamento, bisogna quindi indicare almeno il titolare ed il responsabile del trattamento;
  3. Eventuale individuazione e nomina di un Data Protection Officer (cd. DPO). La responsabilità principale di questa figura è quella di valutare e organizzare la gestione del trattamento di dati personali – e dunque la loro protezione – all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative europee e nazionali sulla privacy. Il DPO svolge non solo la funzione di supervisore interno, per dimostrare la conformità dei dati trattati rispetto alla normativa vigente, ma anche di agevolare la comunicazione relativa al trattamento dei dati sia verso il vertice dell’organizzazione sia verso l’esterno.
    Inoltre, il DPO può essere sia interno che esterno all’azienda ma in ogni caso è una figura indipendente rispetto all’organizzazione.

Creazione del registro dei trattamenti. Si tratta di un documento volto a tenere traccia dei trattamenti effettuati da parte del titolare e degli eventuali responsabili, e contiene:

  • le finalità del trattamento,
  • l’indicazione delle modalità di raccolta dei dati
  • l’eventuale descrizione dell’attività di profilazione dei dati
  • le categorie di interessati e dei dati personali,
  • i destinatari,
  • gli eventuali trasferimenti verso Paesi terzi
  • la durata del trattamento
  1. Definizione delle politiche di sicurezza e valutazione dei rischi. In questa fase bisogna procedere alla valutazione e all’attuazione di tutte le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR.
  2. Data Breach. In caso di accessi non autorizzati, perdita o furto di dati vi è l’obbligo di comunicare tempestivamente e, ove possibile, entro 72 ore sia agli interessati che alla competente autorità le suddette violazioni.
  3. DPIA: Valutazione d’impatto sulla protezione dei dati personali. Al fine di assicurare trasparenza nelle operazioni di trattamento dei dati personali e adeguata protezione agli stessi, la DPIA implica che il titolare effettui precise e adeguate valutazioni d’impatto. Attraverso tale istituto è possibile, di conseguenza, valutare gli aspetti relativi alla protezione dei dati, prima che questi vengano trattati.
  4. Generazione, stesura o modifica della documentazione contenente le risultanze dei punti precedenti, affinché sia completa ed aggiornata secondo le prescrizioni della nuova normativa.

Richiedi una consulenza

Decreto GDPR, proroga al 21 agosto

GDPR: il Governo italiano deve pronunciarsi entro il 21 agosto

Al Governo italiano è stato dato il compito di adottare entro il 21 maggio uno o più decreti per armonizzare il sistema italiano al GDPR ma il termine di scadenza della delega, a causa della mancata presentazione nei tempi previsti dei due pareri delle Commissioni dei rispettivi rami parlamentari, è stato prorogato di novanta giorni, dunque fino al 21 agosto 2018.

Una prima bozza di decreto è stata presentata ed essa anziché abrogare interamente il “vecchio” Codice Privacy, sostituisce in blocco alcuni Titoli e capi dello stesso in contrasto con quanto disposto dal GDPR.

Camera e Senato, seppur con diverse osservazioni, hanno rilasciato esito positivo alla bozza, così come il Garante, che ha evidenziato che il testo in esame risulta essere troppo criptico e non chiaro a sufficienza, ed anche il consiglio nazionale forense è stato dello stesso avviso definendolo un testo poco comprensibile, contrario ad un criterio di semplificazione della materia e in grado di creare difficoltà agli operatori del diritto ma in particolar modo ai semplici cittadini.

Dati Aziendali | Privacy e Cookie policy | Social Wall | Giornale di bordo | OWA | FILE | ERP