GDPR - Avviso ai clienti
Gentile Cliente,
con l'arrivo del Nuovo Regolamento Europeo sulla protezione dei dati (GDPR 2016/679), a seconda della tipologia dei trattamenti dei dati personali svolti in Azienda, ci sono stati impatti più o meno significativi sul proprio piano privacy esistente; venendo a mancare le indicazioni circa le misure di sicurezza da adottare (contenute nell'Allegato B del vecchio Codice Privacy), con il GDPR occorre confrontarsi con il nuovo concetto di "accountability" e cioè la presa di responsabilizzazione da parte del Titolare del trattamento circa le modalità idonee con cui andranno protetti i dati.
Riassumiamo in breve le principali novità:
- le Informative devono prevedere nuovi contenuti come l'esplicitazione delle basi giuridiche su cui si basa il trattamento e i tempi di conservazione dei dati
- le lettere di autorizzazione e nomina devono essere allineate con le nuove terminologie e concetti dei ruoli (ad esempio non avremo più gli "incaricati", ma gli "autorizzati" al trattamento dei dati; il responsabile non sarà più una figura interna ma esterna)
- reintroduzione dell'obbligo formativo per i soggetti che trattano dati personali
- l'obbligo, in determinati casi, di nomina di una nuova importante figura all'interno dell'organigramma privacy: il Data Protection Officer (DPO) (obbligo per la Pubblica Amministrazione e/o allorchè in Azienda vengano svolti trattamenti di dati che necessitano il monitoraggio sistematico e regolare degli interessati, oppure, siano trattamenti di dati "particolari" su larga scala)
- concetto di "Privacy by design e by default", vale a dire protezione dei dati sin dalla progettazione (by design) e per impostazione predefinita (by default)
- l'effettuazione di una valutazione dei rischi sui trattamenti di dati più approfondita ed in taluni casi, una ulteriore valutazione d'impatto privacy (DPIA); tutto ciò per effetto del concetto di idonea sicurezza che occorre assicurare e sapere dimostrare di avere assicurato al dato personale oggetto di trattamento (accountability)
- la tenuta di un Registro dei trattamenti sia in veste di Titolare del trattamento sia di Responsabile esterno del trattamento (obbligatorio per le aziende con oltre 250 dipendenti o che effettuano trattamenti di dati particolari e con rischi elevati per gli interessati), ma utile in tutti i casi per monitorare attentamente i processi di trattamento e caldamente consigliato dagli organi ispettivi
- l'aumento della portata dei diritti dell'interessato (ad esempio, portabilità dei dati, diritto all'oblio, diritto di sottrarsi a qualsiasi forma di profilazione automatizzata)
- la gestione del "data breach" mediante immediata notifica all'Autorità Garante competente, di eventuali violazioni di dati personali (ad esempio furto di dati, violazione della rete informatica aziendale con sottrazione o manipolazione di dati)
- sanzioni molto inasprite anche con riferimenti percentuali al fatturato globale annuo (dal 2 al 4 per cento)
Per chi non avesse ancora provveduto in tutto o in parte a tale adeguamento, i nostri uffici saranno a completa disposizione per fissare un incontro volto ad analizzare e pianificare le eventuali attività necessarie per il suo raggiungimento.
I nostri riferimenti telefonici e mail sono lo "0171/489095" e pentha@pentha.eu