La sfida era quella di sintetizzare al massimo il senso della nuova normativa privacy, in modo da renderla accessibile ai non addetti ali lavori. Sicuramente non esaurisce la spiegazione, il senso e i concetti profondi che il regolamento europeo ha generato, ma ne fornisce una rapidissima panoramica.

Ricordiamo che la responsabilità dell’applicazione corretta delle regole, imposte dalla normativa, ricade quasi totalmente sul “titolare” o “contitolare” dei trattamenti, ruolo rivestito dalla ditta, ente, professionista o, in generale, da chi definisce il “perimetro” e le finalità dei trattamenti di dati da effettuare e, in seconda battuta, sul “responsabile esterno”, cioè su chi tratta dati per conto del titolare dei trattamenti, tipicamente, persona o entità giuridica esterna all’organizzazione.

 

Il GDPR in pillole:

  1. Cos’è:

si riferisce al Regolamento Europeo per la Protezione dei Dati (Reg EU 679/2016) e al codice privacy italiano (D.lgs. 196/2003) novellato dal D.lgs. 101/2018. Il regolamento è entrato in vigore nel 2016 e ha preso piena efficacia nel maggio del 2018. Esso riguarda esclusivamente i dati relativi alle persone fisiche.

       2. A cosa serve:

serve a tutelare i diritti fondamentali delle persone dell’Unione Europea a cui i dati si riferiscono: deve prevenire gli illeciti e tutelare la massima protezione dei dati personali sensibili e non sensibili; migliorare la trasparenza sui trattamenti e fornire le modalità di gestione per chi decide i dati e le finalità dei trattamenti (titolari dei trattamenti).

       3. In cosa consiste:

è un complesso regolamento che richiama una serie di adempimenti, in tema di trattamento di dati. Alcuni adempimenti sono formali e organizzativi, altri sono tecnici e tecnologici. Il regolamento consiste il 99 articoli, 176 considerando e molte linee guida da parte delle autorità garanti. Uno dei concetti base è quello dell’accountability cioè della responsabilizzazione del titolare dei trattamenti che ha l’obbligo di mettere in atto tutte le misure tecniche e organizzative idonee a tutelare e proteggere i dati personali che tratta. Altri concetti chiave sono: la minimizzazione dei trattamenti (i dati vanno trattati solo nella minima misura indispensabile, nella loro quantità e nel tempo); la privacy by design e by default (ogni processo aziendale deve tenere conto della conformità rispetto alla normativa e prevedere delle misure definite di protezione e tutela dei dati).

      4. Chi deve adempiere:

tutte le ditte, anche individuali, i professionisti, gli enti pubblici, le associazioni, le cooperative, etc., in pratica tutte le entità giuridiche, a prescindere dall’attività e dal fatturato.

     5. Quali sono i principali adempimenti:

  • è obbligatorio analizzare i trattamenti di dati effettuati, valutare e documentare i rischi e le protezioni attuate;
  • implementare tutte le misure minime di tutela e protezione dei dati, sia organizzative che tecniche;
  • se presenti dipendenti e/o se vengono trattati dati particolari (sensibili) redigere il registro dei trattamenti (documento che mappa i trattamenti e riporta una serie di informazioni sugli stessi e su tutte le dinamiche ad essi applicati);
  • nominare con atti giuridici validi autorizzati al trattamento e responsabili esterni, per esempio, il commercialista, il consulente del lavoro, etc.;
  • redigere le informative specifiche e gli eventuali consensi, ove necessario (per i dipendenti; per i clienti; per il sito web; per la videosorveglianza; etc.);
  • effettuare la formazione obbligatoria a tutti i soggetti che trattano i dati;
  • se presente un impianto di videosorveglianza:
  • analisi di impatto privacy; informativa specifica; eventuale nomina di responsabilità esterna; inserimento del trattamento nel registro dei trattamenti; se ci sono dipendenti e le riprese avvengono in zone di competenza (interni, cortili, zona carico/scarico, etc.) autorizzazione dell’Ispettorato del Lavoro;
  • in caso di trattamento massivo di dati sensibili, nomina dell’RPD (Responsabile Protezione Dati);
  • in caso di diffusione dei dati in paesi extra europei, valutare una serie di parametri (decisioni di adeguatezza, basi giuridiche. Vedi sito del Garante) in base al paese destinatario.
  • in caso di violazione dei dati, seguire iter ben preciso: registro degli incidenti; notifica al Garante entro 72 ore; comunicazione agli interessati della violazione avvenuta, se esiste rischio per i soggetti interessati.

     6. Chi effettua i controlli:

la Guardia di Finanza, tramite il Nucleo Privacy, ma le segnalazioni al Garante possono giungere anche dai dipartimenti locali della Guardia di Finanza; da qualsiasi organo di controllo delle forze dell’ordine (esempio Polizia Amministrativa); da qualsiasi cittadino. Attenzione alle controversie con i dipendenti, con i clienti, con i concorrenti, etc.

     7. Come mantenere la conformità nel tempo:

è indispensabile aggiornare periodicamente, almeno una volta all’anno, la documentazione; effettuare la formazione ai nuovi collaboratori; aggiornarsi sulle nuove linee guida del Garante; progettare tutti i nuovi processi aziendali sulla base delle regole del GDPR (esempio: voglio fare delle mail promozionali ali clienti. Che regole devo seguire per essere a norma con la privacy?); aggiornare i software e le password; effettuare un audit.

Daniele Umberto Spano

 

Per approfondimenti, adeguamenti, consulenza privacy e analisi di sicurezza del sistema informatico contattaci CLICCANDO QUI

 

 

Condividi