Il nuovo regolamento europeo 679/2016 (Gdpr) comprende una serie di novità che interessano sia i cittadini, che le imprese, gli enti pubblici, le associazioni e i liberi professionisti. Da qui la necessità di aggiornare, in modo efficace, l’utilizzo e la conservazione dei dati personali
Il 19 maggio 2019 è scaduto il termine di “tolleranza” fissato dal legislatore all’attività sanzionatoria del Garante, dunque è prevedibile che ci sarà un deciso cambio di marcia negli accertamenti dell’Autorità.
Tra le novità più importanti (GDPR+D.Lgs.101/2018) ricordiamo:
- I diritti degli interessati (il diritto all’oblio, il diritto alla portabilità dei propri dati personali, diritto di accesso, diritto di rettifica dei propri dati ecc.)
- La definizione di un Responsabile della protezione dei dati (DPO), in qualità di referente per la corretta applicazione della privacy in ogni struttura amministrativa. Esso ha il compito di monitorare la conformità al Regolamento, fornire consulenza e informazioni e fare da tramite con l’Autorità di controllo. Tra i compiti del DPO rientrano inoltre “la sensibilizzazione e la formazione del personale e la sorveglianza sullo svolgimento della valutazione di impatto”
- La creazione e tenuta del Registro delle Attività di Trattamento, al fine di dimostrare la conformità alle disposizioni del regolamento
- Il principio di accountability mediante il quale i responsabili del trattamento devono dimostrare di avere adottato tutte le misure di sicurezza adeguate alla protezione dei dati
- Gestione data breach, ovvero l’obbligo da parte delle amministrazioni di comunicare al Garante e agli interessati la violazione dei propri dati personali entro 72 ore
- Privacy by design e by default, ovvero l’obbligo per le PA e le Imprese di garantire la protezione dei dati fin dalle prime fasi di progettazione e sviluppo del trattamento dei dati
Puoi scaricare i modelli precompilati e personalizzabili per realizzare la conformità al GDPR
Alla luce di quanto detto vediamo cosa deve fare in sostanza il titolare di una Pmi per adeguarsi al meglio alle nuove regole, tenendo conto che nell’esercizio delle sue funzioni , tratta dati personali normali e sensibili:
- Verificare che i dati raccolti e trattati siano esclusivamente quelli strettamente necessari , pertinenti e adeguati a svolgere le finalità per cui sono stati richiesti
- Designare su suggerimento del Garante, il DPO (Responsabile protezione dei dati),
- Adottare, per i dati,le misure necessarie per aggiornarli o rettificarli al bisogno, proteggerli e conservarli per il tempo necessario al raggiungimento degli obiettivi prefissati, consegnare le informative ai propri clienti e ai collaboratori con tutte le informazioni previste, come da regolamento europeo
- Garantire la preparazione e la correttezza delle persone coinvolte nel trattamento attraverso uno specifico corso di formazione con rilascio del relativo attestato.
- Designare gli incaricati al trattamento con lettera scritta
- Effettuare la mappatura di tutti i trattamenti sui dati personali
- Creare un registro delle attività di trattamento dei dati, in cui sono spiegate tutte le procedure , le finalità, i programmi utilizzati, le persone coinvolte, le responsabilità, le misure di sicurezza previste, il tempo di conservazione dei relativi dati
- Effettuare la valutazione di impatto sui dati per trattamenti particolari
- Dotarsi di una procedura di comprensione e gestione dei data breach
- Verificare gli Audit di conformità al Regolamento Europeo attraverso la Privacy Compliance
- Tenersi al passo con gli sviluppi normativi, in quanto il rispetto della privacy non può considerarsi un’attività svolta una volta per tutte e messa nel cassetto ma gli adempimenti da rispettare saranno un work in progress mediante adozioni di misure che il Titolare riterrà di volta in volta più opportune per il trattamento dei dati personali, il tutto nel rispetto dell’applicazione della privacy-by-design.
N.B. La normativa prevede un notevole inasprimento delle sanzioni amministrative e penali a carico di imprese e pubbliche amministrazioni nel caso di non conformità alla normativa: tali sanzioni possono arrivare fino a 20 milioni di euro.
La Visa Informatica s.a.s., continuamente aggiornata sulle questioni che riguardano la sicurezza e la governance informatica delle Aziende, offre la sua collaborazione a pianificare la conformità al GDPR per il trattamento dei dati personali e a realizzare quindi tutte le procedure necessarie nel rispetto di quanto sopra previsto.