Il 25 maggio 2018 diverrà definitivamente applicabile il Regolamento UE n. 2016/679 – GDPR, General Data Protection Regulation.
Dal 25 Maggio 2018 il GDPR andrà a modificare l’attuale assetto legislativo in materia di privacy (l’attuale D.lgs 196/2003 o “Codice Privacy”). Si rende pertanto necessario procedere all’adeguamento della gestione del trattamento dei dati personali. In modo tale da ottenere una compliance aziendale conforme alle nuove disposizioni previste dal legislatore europeo.
Tanto più che le nuove sanzioni previste dal GDPR sono ben più gravose rispetto al sistema sanzionatorio del vecchio Codice Privacy. Si va da un minimo di 10.000,00 euro e un massimo pari al 4% del fatturato globale totale annuo dell’esercizio precedente.
Oltre all’aspetto economico, riconducibile agli innegabili danni economici della sanzione, dei costi legali e ad eventuali azioni di class action, quello che va considerato ed assolutamente evitato è il rischio di compromettere il rapporto di fiducia con il cliente (brand reputation).
Principali novità introdotte dal GDPR
SOGGETTI
Il GDPR modifica l’Organigramma Privacy. Permane la figura del Titolare del trattamento, che corrisponde alla persona, fisica o giuridica, che determina le finalità e i mezzi del trattamento. Il Responsabile del trattamento, che agisce per conto del Titolare, è esterno all’azienda. Ciò è dovuto al fatto che i Responsabili sono chiamati a rispondere in solido con il Titolare per l’intero ammontare del danno. Qualora la responsabilità dello stesso sia da attribuire ad entrambi. In luogo dei Responsabili interni sussistono i Delegati al trattamento da parte del Titolare. Soggetti preposti a garantire la sicurezza nella gestione dei dati nelle singole aree aziendali (es: settore HR, marketing…).
MISURE DI SICUREZZA ADEGUATE AL RISCHIO
Il GDPR richiede che vengano predisposte misure di protezione del dato “adeguate” rispetto al rischio. Di volta in volta, sulla base della singola realtà aziendale, si renderà necessario analizzare la tipologia del dato trattato, le possibilità di violazione / cancellazione / modificazione dello stesso e le conseguenti misure di sicurezza. Non è pertanto più sufficiente attenersi alle misure minime di sicurezza previste dall’Allegato B al D.lgs 196/2003.
PRIVACY BY DESIGN
Le imprese, come requisito strutturale del sistema, devono garantire la protezione dei dati personali facendo ricorso alle misure tecniche e organizzative adeguate. Prevenendo l’eventuale violazione o distruzione dei dati.
PRIVACY BY DEFAULT
Le imprese devono trattare, per impostazione predefinita, solamente i dati strettamente necessari per il raggiungimento di specifiche finalità. Occorre, pertanto, che il sistema di trattamento garantisca la non eccessività dei dati raccolti.
VALUTAZIONE PREVENTIVA DEL RISCHIO (DPIA)
L’impresa è tenuta a svolgere una valutazione preliminare dell’impatto di un trattamento sulla privacy e la sicurezza dei dati ogni volta che un trattamento, effettuato ricorrendo alle nuove tecnologie, ponga in serio pericolo i dati personali.
La valutazione di impatto rientra tra gli strumenti di prevenzione richiesti dal legislatore europeo che, accanto ai nuovi concetti di privacy by design e by default, intende far sì che le aziende si adoperino, fin dal momento della ricezione, per impedire la violazione dei dati personali delle persone fisiche.
DATA BREACH
Qualora, nonostante siano state prese tutte le misure del caso, si verifichi una violazione dei dati, l’impresa è tenuta a comunicarlo all’Autorità di Controllo (Garante Privacy). Senza ritardo ingiustificato e comunque entro 72 ore dalla scoperta. La comunicazione non è dovuta nel caso in cui risulti improbabile che la violazione costituisca un rischio per le libertà e i diritti della persona fisica.
Per quanto riguarda l’interessato, questi non ha diritto a ricevere sempre e comunque la comunicazione della violazione dei suoi dati. Dovuta solamente nel momento in cui la violazione ponga in essere un serio rischio ai diritti e alle libertà degli interessati.
REGISTRO DEI TRATTAMENTI
Ogni Titolare e Responsabile del trattamento deve tenere il Registro dei trattamenti. Questo documento contiene l’indicazione rispettivamente delle attività di trattamento svolte sotto la propria responsabilità e quelle compiute su disposizioni del Titolare.
Il Registro costituisce applicazione del principio di accountability. In ordine al quale ciascun Titolare del trattamento si assume pienamente la responsabilità della gestione dei dati personali. Su di lui incombe l’onere di provare di aver adottato tutte le misure idonee a garantire una gestione del dato conforme alla disciplina europea.
La tenuta del Registro non è obbligatoria per tutti i Titolari e Responsabili. Ma solo per le imprese e le organizzazioni dotate di almeno 250 dipendenti, salvo che il trattamento che effettuano ponga in pericolo i diritti e le libertà degli interessati ovvero non sia occasionale o includa dati particolari o giudiziari.
PERIODO DI CONSERVAZIONE DEI DATI
A differenza del Codice Privacy, l’art. 13 del GDPR impone di indicare nell’informativa privacy l’indicazione del periodo massimo di conservazione dei dati personali. Ovvero i criteri utilizzati per la determinazione di tale periodo.
I dati non potranno più essere conservati senza limiti di tempo. Ma solamente per un periodo di tempo adeguato rispetto alle finalità perseguite, secondo le disposizioni di legge e le indicazioni del Garante Privacy.
ESERCIZIO DEI DIRITTI DELL’INTERESSATO
Il GDPR allarga il novero dei diritti riconosciuti all’interessato: l’art. 20 introduce il diritto alla portabilità dei dati, ossia il diritto ad ottenere i dati che lo riguardano in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasferirli ad un nuovo Titolare del trattamento senza alcun impedimento.
Più ampio rispetto alla normativa del Codice Privacy è il diritto alla cancellazione od oblio (art. 17), che impone al Titolare cui è stata imposta la cancellazione dei dati e che precedentemente li aveva resi pubblici di informare i Titolari che li gestiscono. Al fine di ottenere la cancellazione di ogni link, copia o riproduzione dei dati.
L’art. 18 tratta della limitazione al trattamento, per cui il trattamento può non soltanto essere impedito, ma solamente limitato a richiesta dell’interessato e alla presenza degli specifici requisiti di legge.
Davanti alle richieste dell’interessato, il Titolare del trattamento è tenuto a rispondere all’interessato senza ingiustificato ritardo e comunque entro 1 mese. Prorogabile di due mesi nei casi di particolare complessità, anche nel caso di diniego.
SANZIONI
Assumono particolare rilevanza le nuove sanzioni previste dal GDPR, ben più gravose rispetto al sistema sanzionatorio del Codice Privacy. Il Titolare può essere tenuto a versare, quale sanzione amministrativa pecuniaria, da un minimo di 10.000,00 euro e un massimo pari al 4% del fatturato globale totale annuo dell’esercizio precedente.
GDPR e Team Reti
Per le Reti d’Impresa, Consorzi, Gruppi, Distretti e altre forme aggregative TEAMRETI ITALIA ed AssoretiPMI hanno previsto una scontistica significativa, per saperne di più consultate il sito Teamreti Italia.
Siamo una giovane realtà editoriale e non riceviamo finanziamenti pubblici.
Il nostro lavoro è sostenuto solo dal contributo dell’editore (CuDriEc S.r.l.) e dagli introiti pubblicitari. I lettori sono la nostra vera ricchezza. Ogni giorno cerchiamo di fornire approfondimenti accurati, unici e veri.
Sostieni Moondo, sostieni l’informazione indipendente!
Desidero inviare a Moondo una mia libera donazione (clicca e dona)
GRATIS!!! SCARICA LA APP DI MOONDO, SCEGLI GLI ARGOMENTI E PERSONALIZZI IL TUO GIORNALE
La tua opinione per noi è molto importante.
Ora anche su Google News, clicca qui e seguici
Potrebbe interessarti anche: