La nuova normativa europea emanata con il Regolamento Generale sulla protezione dei dati personali (GDPR) n. 679/2016 sostituisce la Direttiva 95/46/C e si inserisce nel nostro ordinamento accanto alle norme del D.Lgs. 196/2003 (c.d. Codice privacy)
L’adeguamento al nuovo regolamento impegnerà aziende e PA per i prossimi mesi e tutte le attività dovranno essere portate a termine entro maggio 2018.
Per chi mancherà l’obiettivo, il nuovo Regolamento introduce anche pesanti sanzioni che possono arrivare fino a 20 milioni di euro o al 4% del fatturato mondiale annuo.
ECCO COME EVITARE LE SANZIONI:
AVVIA UN NUOVO MODELLO ORGANIZZATIVO
La nuova regolamentazione giuridica della privacy prevede un cambio radicale nell’impostazione della tutela dei dati personali, che dovrà concretizzarsi in una sorta di “modello organizzativo” da implementare in ragione di un’attenta analisi dei rischi e a seguito di un’autovalutazione finalizzata all’adozione delle migliori strategie volte a presidiare i trattamenti di dati effettuati.
Tutto deve essere sviluppato nell’ottica della privacy by design e privacy by default, ovvero in base a un approccio non più di tipo formale o limitato alla mera adozione di misure di sicurezza, ma a un sistema organizzativo caratterizzato da un’attenzione multidisciplinare alle specificità della struttura e della tipologia di trattamento, sia dal punto di vista della sicurezza informatica, sia in conformità agli obblighi legali, ma anche in considerazione del modello di archiviazione e gestione dei dati trattati.
Oltre a tali aspetti, le norme del Regolamento impongono anche nuovi adempimenti e specifiche misure di sicurezza (organizzative e tecniche) da adottare, nonché l’introduzione di nuove figure soggettive e professionali che dovranno presidiare i processi organizzativi interni per garantire un corretto trattamento dei dati personali.
Tra queste di particolare rilievo è la figura del Responsabile della Protezione dei dati personali o DPO (Data Protection Officer) che, in base a quanto previsto dal Regolamento può essere un dipendente del Titolare o del Responsabile del trattamento oppure essere un esperto esterno, il quale può avvalersi anche di un team, che può assolvere i suoi compiti in base a un contratto di servizi.
VERIFICA IL TRATTAMENTO DEI DATI PERSONALI CON:
Potenziamento dei contenuti obbligatori dell’informativa per tutti i titolari del trattamento
Definizione di idonee modalità di acquisizione e revoca del consenso, nonché obbligo di fornire la relativa prova (dimostrazione dell’acquisizione del consenso)
SEMPLIFICA LA COMPLIANCE INTERNA e ADOTTA SPECIFICHE POLICY CON:
Revisione del Regolamento aziendale interno
Adozione di un Registro delle attività di trattamento
Revisione e integrazione di tutti i contratti (corretta contrattualizzazione dei rapporti: clausole privacy per ripartizione delle responsabilità – accountability – e previsione delle sub-deleghe a terzi di parte dei servizi), mediante l’inserimento di clausole “reali” e non più di stile e, in alcuni casi, mediante l’utilizzo di veri e propri “Privacy Level Agreement”
Realizzazione di una valutazione d’impatto sulla protezione dei dati (PIA)
Adozione di una specifica “Data retention policy”
Adozione di una specifica procedura per regolamentarne eventuali episodi di violazione di dati personali (c.d. “data breach”)
Assicurare la verifica dell’efficacia delle misure adottate
Conservazione digitale delle policy adottate e dei contratti sottoscritti con Responsabili o Contitolari
Vuoi saperne di più?
SCARICA GRATUITAMENTE I DUE NUOVI eBOOK a cura del Digital & Law Department: