Il Nuovo Regolamento UE 679/2017 in materia di Protezione dei Dati Personali (“GDPR”)

COS’È IL GDPR?

Il 25 maggio 2018 è scaduto il termine ultimo per adeguarsi al nuovo Regolamento Europeo sulla Privacy (Reg. UE n. 679/2016), anche denominato “GDPR” (General Data Protection Regulation), che integra e sostituisce, nelle parti che risultano con questo in contrasto, l’attuale “Testo Unico Privacy” (D.Lgs. n. 196/2003), allineando così la legge nazionale in tema di privacy e trattamento dei dati personali alla normativa europea

Il GDPR nasce dalla precisa esigenza di fornire una soluzione, necessaria ed urgente, alle sfide poste dagli sviluppi tecnologici. Gli adempimenti da esso previsti sono purtroppo numerosi ed impegnativi, e a poco gioverebbe darvene qui un esempio; con la presente Vi invitiamo quindi a non sottovalutare la portata di tale nuova normativa, anche al fine di evitare le pesantissime conseguenze che potrebbero derivare dalla sua mancata applicazione.

Preme infatti ricordare che a tale obbligo sono soggette indistintamente tutte le tipologie aziendali, ivi comprese le ditte individuali, ed il mancato adeguamento prevede sanzioni estremamente elevate (le pene pecuniarie potranno arrivare fino ad un massimo di € 20.000.000,00 o fino al 4% del fatturato annuo).

Il rispetto al GDPR non si risolve cambiando il firewall o il software di backup (questi sono infatti solo strumenti, importanti quanto vuoi ma pur sempre strumenti…); mettere a norma la tua Azienda è soprattutto una questione di processi aziendali, gli strumenti per attuarli vengono dopo, prima devi conoscere la tua situazione attuale, devi sapere cosa manca (se manca qualcosa…) alla tua Azienda.

Il GDPR si applica a tutte le Organizzazioni (inclusi enti pubblici, imprese private e studi professionali) che, a vario titolo, trattano dati classificabili come “dati personali” di cittadini residenti nella UE. “Dato Personale” è una qualsiasi informazione riguardante una persona fisica, in grado di identificarla.

Ai sensi dell’art. 82 dello Reg. UE 679/16, titolare del trattamento e responsabile del trattamento (che possono appunto essere il commercialista, l’avvocato, il consulente del lavoro o altro professionista) rispondono in solido per i danni cagionati a una persona da un trattamento non conforme al presente regolamento, e saranno esonerati da tali responsabilità solo se in grado di dimostrare che l’evento dannoso non sia in alcun modo loro imputabile.

Inoltre, ai sensi del co.4 art.32 GDPR, “il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”. Per tale motivo diventa quindi imprescindibile far si che tutto il personale venga idoneamente “istruito” circa gli aspetti principali del GDPR, e le procedure inerenti il corretto trattamento dei dati da effettuarsi all’interno dello Studio.

In base al Regolamento 2016/679/EU, alcuni titolari e responsabili del trattamento sono tenuti a nominare un DPO in via obbligatoria. Ciò vale per tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali (dati sensibili).

COSA CHIEDE IL GDPR ALLE AZIENDE?

Tutte le Aziende dovranno prendersi delle nuove responsabilità in materie di privacy e di gestione dei dati:

  • ACCOUNTABILITY & GOVERNANCE. La tua Azienda dovrà adottare tecnologie e processi per dimostrare che “si sta facendo sul serio”, circa il rispetto del regolamento.
  • BREACH NOTIFICATION. Questo è un passaggio importante: il Regolamento impone alle Aziende di notificare all’autorità di controllo la violazione di dati personali (data breach) entro settantadue ore dal momento in cui ne viene a conoscenza. In altre parole, se la tua Azienda subisce un furto di dati, lo deve denunciare all’autorità competente.
  • STORAGE LIMITATION. La tua Azienda potrà conservare i dati personali solo per un periodo di tempo strettamente necessario alla finalità del trattamento.
  • INDIVIDUALS’ RIGHTS. Le Aziende dovranno assicurare nuovi diritti come: 
    • Diritto di Accesso: fornire agli individui l’accesso ai propri dati;
    • Diritto alla Portabilità: possibilità di trasferire i dati ad un’altra organizzazione in modo semplice e completo;
    • Diritto di Cancellazione: cancellazione dei dati personali quando richiesto o quando non più necessari per il trattamento.

GDPR: 6 FIGURE CHIAVE

La normativa introduce alcune figure chiave che è bene conoscere:

  • Persona fisica: il proprietario dei dati.
  • Titolare del trattamento: determina le finalità e gli strumenti del trattamento di dati personali e decide quali categorie di dati personali devono essere registrate.
  • Processor: è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento.
  • Data Protection Officer (DPO): responsabile della protezione dei dati.
  • Supervisory Authority: il garante per la protezione dei dati personali.
  • European Data Protection Board (EDPB): Garante Europeo per la protezione dei dati.

GDPR: ALCUNI PASSI BEN PRECISI…

  • Primo passo: Assessment. Un’analisi basata su una pratica e efficace intervista per capire, all’interno della tua Azienda, quali sono i comportamenti, le abitudini, le procedure e gli strumenti oggi presenti in materia di tutela della privacy. Completato e condiviso l’assessment sarà necessario definire il piano di interventi.
  • Secondo step: individuate le lacune bisognerà attivarsi per colmarle, con protezione tecnologica. Infatti il GDPR non è un documento statico ma racchiude una serie di azioni da compiere: proteggere i tuoi dati dal pericolo Cryptolocker e ransomware simili…, oppure garantire un Back Up dei dati e proteggere la propria rete con un FireWall. È noto infatti che il tessuto delle piccole medie imprese italiane, sul quale si basa la nostra economia, non è in grado di difendersi adeguatamente da questi pericoli. Il rapporto annuale di CISCO sul CYBER CRIME descrive la seguente situazione: “Per le aziende che hanno subito un attacco, l’effetto è stato notevole: il 22% ha perso clienti (il 40% ha perso oltre il 20% della propria base di clienti); il 29% ha perso fatturato (il 38% ha subito perdite per oltre il 20%delle entrate); il 23% ha perso delle opportunità di business”.
  • Terzo passaggio: il mantenimento. Il GDPR non è un’azione una tantum, ma la sua attuazione nella tua azienda dovrà essere costantemente monitorata e “manutenuta”, con continue verifiche ed accorgimenti.

 

COME POSSIAMO AIUTARVI?

La nostra proposta contempla l’effettuazione di un check-up preliminare (FASE 1) volto ad individuare le procedure in uso per il trattamento dei dati e le attività necessarie per la messa a norma della Vs. azienda rispetto a quanto stabilito dal nuovo Regolamento UE n. 679/2016 in materia di protezione dei dati (GDPR).

Per la verifica delle procedure in uso per il trattamento dei dati, i Ns. esperti si recheranno presso la Vs. azienda ed effettueranno degli audit con i principali soggetti responsabili, predisponendo le opportune check list e affiancandoli nella compilazione delle stesse; terminati gli audit e compilata tutta la documentazione procederanno quindi alla redazione di un documento di sintesi per la messa in opera della normativa per l’adeguamento del Sistema Privacy.

Solo una volta eseguita tale “fase preliminare” potremo infatti procedere all’elaborazione e alla stesura di un preventivo “finale” inerente alla concreta applicazione del GDPR, in quanto le successive fasi, per essere valutate, dipendono dal rilevo della situazione aziendale in essere e, pertanto, saranno oggetto di proposta economica solo dopo avere eseguito la verifica di cui sopra.

All’interno della FASE 2 potrebbero, a seconda della situazione attuale in cui versa l’azienda, potrebbero rientrare le seguenti procedure:

  1. Predisposizione del registro dei trattamenti: documento volto a tenere traccia dei trattamenti effettuati da parte del titolare e degli eventuali responsabili, e contenente, tra gli altri, le finalità del trattamento, una descrizione delle categorie di interessati e dei dati personali, i destinatari, gli eventuali trasferimenti verso Paesi terzi e una descrizione generale delle misure di sicurezza;
  2. Stesura/Modifica della documentazione affinché risulti completa ed aggiornata secondo le prescrizioni della nuova normativa (Informativa, privacy policy, contrattualistica,…);
  3. Individuazione dei ruoli e delle responsabilità dei soggetti che effettuano il trattamento;
  4. Definizione delle politiche di sicurezza e valutazione dei rischi: valutazione e attuazione di tutte le misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al RGPD. Questa fase è espressione, soprattutto, del principio di responsabilizzazione del titolare (accountability);
  5. Processo di Data Breach: al fine di assicurarsi di aver adottato tutte le procedure idonee a scoprire eventuali violazioni, generare adeguata reportistica e indagarne le cause nonché gli effetti della violazione subita;
  6. Valutazione d’impatto sulla protezione dei dati personali: al fine di assicurare trasparenza nelle operazioni di trattamento dei dati personali e adeguata protezione agli stessi, implica che il titolare effettui precise e adeguate valutazioni d’impatto privacy. Attraverso tale istituto è possibile, quindi, valutare gli aspetti relativi alla protezione dei dati, prima che questi vengano trattati;
  7. Implementazione dei processi per l’esercizio dei diritti dell’interessato;
  8. Formazione di tutti coloro che trattano dati personali all’interno dell’Azienda (Titolari, Contitolari, Responsabili, Dipendenti, Collaboratori, Praticanti, ecc.).
  9. Individuazione e nomina di un Data Protection Officer (DPO): figura la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. per informazioni o preventivi.