
Il Nuovo Regolamento Europeo in materia di protezione dei dati personali
Con l'avvento del Regolamento sulla Protezione dei dati Reg. (UE) 2016/679 (noto anche con il nome di "General Data Protection Regulation" - G.D.P.R.) le aziende e la pubblica amministrazione hanno affrontato il tema della "conformità privacy" avendo come area di riferimento non solo l'Italia, ma tutti gli Stati dell'Unione Europea in cui operano.
Il concetto fondamentale che sta alla base del G.D.P.R. è quello della "accountability" cioè la consapevolezza e la presa di "responsabilità" da parte del Titolare del trattamento di tutto ciò che è necessario per assicurare l'adeguata protezione ai dati personali trattati al proprio interno.
A tal proposito, la nuova legge obbliga Titolari e Responsabili del trattamento a rivedere ed aggiornare la documentazione presente in azienda, ad applicare adeguate misure di sicurezza, sia tecnologiche che organizzative, e a provarne la loro efficacia, appunto, in un'ottica non solo di "accountability" ma anche di privacy by design e by default.
A differenza del precedente impianto normativo (Codice Privacy d.lgs. 196/03) che prevedeva (Allegato B) una serie di precetti per incorniciare quelle che erano ritenute le Misure di sicurezza minime, ora tutto è demandato alle analisi che il Titolare del trattamento (Azienda, P.A.) deve porre in atto per garantire una idonea protezione dei dati sia a livello organizzativo che tecnico/pratico.
Protezione dei dati che riguarda i diritti e le libertà fondamentali dell'"interessato" (il soggetto i cui dati sono oggetto di trattamento); a tal proposito, facciamo notare come il termine "Privacy" sia del tutto scomparso all'interno della normativa, mentre compare sempre più spesso "protezione dei dati personali".
Noi aggiungiamo ai "dati personali" anche i "non personali", perchè le informazioni confidenziali sui dati aziendali sono un asset fondamentale per qualsiasi tipo di attività, soprattutto per il crescente sviluppo del trattamento dati automatizzato.
Diversi sono i punti essenziali che le aziende hanno dovuto considerare in questo periodo di vigenza del Regolamento 2016/679 - G.D.P.R.
Per chi avesse ancora necessità di approfondimenti e/o aggiornamenti su tali punti, di seguito ne elenchiamo i principali:
1. Avere consapevolezza del nuovo quadro normativo: accountability, concetti di "Data protection, by design - by default";
2. Organigramma Privacy: individuare Ruoli e Responsabilità interne ed esterne - valutazione circa la nomina della nuova figura di "Responsabile della Protezione dei dati" (D.P.O.);
3. Verifica dell'idoneità di tutte le informative in uso con una attenta analisi delle corrette basi giuridiche, degli eventuali consensi richiesti e necessari per il lecito trattamento dei dati personali (marketing, profilazione, dati particolari ecc.);
4. Analisi di tutte le banche dati e creazioni di regole per la conservazione dei dati (data retention) e per le modalità di risposta agli interessati; identificazione dei fondamenti di liceità di ciascun trattamento;
5. Corretta tenuta ed aggiornamento dei Registri dei trattamenti di dati (sia in qualità di Titolare che di Responsabile del trattamento);
6. Aggiornamento dell'Analisi e della Valutazione dei rischi derivanti dai trattamenti effettuati; per i trattamenti a maggior rischio effettuazione di una "DPIA": Data protection impact assessment";
7. Accountability: predisporre documenti e politica di gestione della privacy (ex D.P.S.);
8. Data breach (in caso di violazioni dei dati da parte di terzi: azioni di hackeraggio, cryptolocker ecc.): definizione di una policy "ad hoc" e flussi informativi;
9. Formazione ai soggetti autorizzati al trattamento;
10. Sicurezza dei dati: implementare misure di sicurezza idonee (es. crittografia, pseudonimizzazione).
Da questo elenco, non esaustivo, emerge che sarà necessario un continuo lavoro di verifica ed aggiornamento dei propri piano privacy anche per evitare le sanzioni che possono fino a 20 milioni di Euro o sino al 4% del fatturato globale.
Pertanto invitiamo le Aziende che necessitassero di avere maggiori informazioni ed approfondimenti al riguardo, a contattare i nostri uffici che vantano un'esperienza ventennale nella consulenza Privacy.