top of page
Questo sito è stato creato con la piattaforma
.com
. Crea oggi il tuo sito web.Inizia ora

REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI PERSONALI - GDPR (UE 2016/679)

INTRODUZIONE

Con la nuova legislazione in materia di protezione dei dati (introdotta nel 2016 con il General Data Protection Regulation, in sostituzione alla direttiva sulla protezione dei dati del 1995) tutte le aziende e/o organizzazioni europee che gestiscono i dati personali dei cittadini europei dovranno sottostare a nuovi obblighi e responsabilità.

In caso di mancato rispetto di queste norme, il GDPR consente alle autorità di protezione dei dati di emettere multe fino a 20 milioni di euro o per il 4% del fatturato mondiale annuo di una società, a seconda di quanto risulti più gravoso per l’azienda sanzionata. L’entrata in vigore della nuova legge con gli effetti sulle multe anzidette è avvenuta il 25 maggio 2018.

Il GDPR istituisce un quadro normativo incentrato sui doveri e la responsabilizzazione del Titolare del trattamento (principio di “accountability”). La nuova disciplina impone a tale soggetto di garantire il rispetto dei principi in essa contenuti, ma anche di essere in grado di comprovarlo, adottando una serie di strumenti che lo stesso GDPR indica. Per fare ciò, l’azienda dovrà avere un quadro completo che consenta di schematizzare e mappare: organizzazione e ruoli, persone, cultura e competenze, processi e regole, documentazione che abbia impatti sul trattamento dei dati, contratti con i fornitori che trattano dati, nomine a responsabili e incaricati del trattamento, processi e procedure di gestione dei sistemi informativi, tecnologie e strumenti per la gestione della sicurezza informatica, sistemi di controllo, sistemi di internal audit.

gdpr-privacy.jpg
GDPR-PRIVACY-2.jpg
GDPR-DATI PERSONALI.jpg
GDPR-3.jpg
GDPR-REGISTRO DEI TRATTAMENTI.jpg
GDPR-MISURE ADEGUATE.jpg
GDPR-RUOLI.jpg
GDPR-SOLUZIONI INFORMATICHE.jpg

I PUNTI SALIENTI

Il primo adempimento che è opportuno porre in essere è senza dubbio  l’adozione del Registro dei trattamenti di dati personali. Questo ha dei contenuti obbligatori previsti specificamente dal GDPR ma può comprendere anche altre informazioni non obbligatorie, per garantire il perfetto allineamento con i principali «oggetti» aziendali (mappa dei processi, organigramma aziendale, portafoglio fornitori, mappa degli applicativi). Esso costituisce dunque sia uno strumento operativo di lavoro con cui censire in maniera ordinata le banche dati e gli altri elementi rilevanti per assicurare un sano “ciclo di gestione” dei dati personali, sia un vero e proprio documento di carattere probatorio mediante il quale il Titolare del trattamento può dimostrare di aver adempiuto alle prescrizioni del Regolamento.

 

Tutte le informazioni raccolte per popolare il Registro dei trattamenti, torneranno utili per quando poi, in una fase successiva, andranno identificati e valutati i principali gap da colmare per essere compliant al GDPR. Ovvero per definire e redigere, alla luce dei gap evidenziati, un piano di adeguamento complessivo (action plan), nonché la implementazione ed il conseguente monitoraggio degli interventi previsti.

 

La nuova normativa abbandona il concetto di “misure minime” del Codice Privacy, sostituendolo con quello di “misure adeguate”. Tale maggiore discrezionalità è accompagnata dall’onere in capo al Titolare del trattamento di poter dimostrare le ragioni che hanno portato a una determinata decisione.

Il Titolare del trattamento potrà nominare un Data Protection Officer (DPO), ovvero un Responsabile della protezione dei dati personali degli interessati, una figura specialistica e altamente qualificata che supporti l’applicazione degli obblighi della nuova normativa, e funga da punto di contatto con le Autorità di controllo e gli interessati. La designazione del DPO è obbligatoria solo in alcuni casi (trattamenti effettuati su larga scala, posti in essere da un’Autorità pubblica/organismo pubblico, o che ricomprendono categorie particolari di dati personali). Tuttavia costituisce una buona prassi anche per le aziende che sarebbero esenti da tale adempimento.

 

In estrema sintesi, il perimetro di impatto del GDPR riguarda:

  • Organizzazione e ruoli. Definizione e formalizzazione del modello organizzativo, dei ruoli e delle relative responsabilità all’interno dell’azienda, in relazione all’indirizzo e alla gestione dei temi legati alla Privacy.

  • Persone, cultura e competenze. Diffusione della cultura della protezione dei dati e delle policy di sicurezza all’interno dell’organizzazione, attraverso attività di formazione e sensibilizzazione. 

  • Processi e regole. È senza dubbio una delle aree più impattate dalle richieste di adeguamento del GDPR, basti ricordare la Privacy by design, la portabilità dei dati, la gestione dei data breach, la gestione del registro dei trattamenti, la gestione dei diritti degli interessati. Sono solo alcuni dei processi richiesti dal Regolamento che dovranno essere disegnati, implementati e presidiati nell’organizzazione.
     Documentazione. Definizione delle procedure del manuale di gestione della data protection, aggiornamento dei contratti con le terze parti, adeguamento e/o stesura della documentazione di base quali informative, moduli di consenso, lettere di nomina, ecc.

  • Tecnologia e strumenti. Area di rilevante importanza in ambito di misure di sicurezza informatica (antivirus, disaster recovery, firewall, pseudonimizzazione dati, cifratura dati, prevenzione e rilevazione data breach, Identity Management, ecc.), di sicurezza fisica (es. controllo accessi), di adozione di tool IT GRC (Governance, Risk & Compliance).

  • Sistema di controllo. Progettazione e gestione di un cruscotto di KPI per il monitoraggio della compliance a normative esterne (es. GDPR), regolamenti interni, progettazione di reportistica ad hoc da condividere a vari livelli dell’organizzazione.

SUGGERIMENTI PER L'ADEGUAMENTO AL GDPR

L’adeguamento al GDPR può essere approcciato in diversi modi. Sta all’azienda scegliere come e con quale accettazione del livello di rischio. Non può però sfuggire che il dato personale di clienti, dipendenti e soggetti diversamente coinvolti nel ciclo produttivo e commerciale dell’azienda sia un asset fondamentale per la trasformazione digitale del business e in quanto tale deve essere valorizzato e protetto.

 

Come affrontare tutto questo? Lo si può suddividere in fasi che consentiranno di approcciare la regolamentazione per gradi. Di seguito un esempio:

 

Fase 1 – Valutazione della situazione di partenza: raccolta di tutte le informazioni sull’organizzazione aziendale, analisi e valutazione della documentazione in uso;

 

Fase 2 – Creazione del registro dei trattamenti: documento volto a tenere traccia dei trattamenti effettuati da parte del titolare e degli eventuali responsabili, e contenente, tra gli altri, le finalità del trattamento, una descrizione delle categorie di interessati e dei dati personali, i destinatari, gli eventuali trasferimenti verso Paesi terzi e una descrizione generale delle misure di sicurezza;

 

Fase 3 – Individuazione dei ruoli e delle responsabilità dei soggetti che effettuano il trattamento. Si suggerisce, lì dove possibile, d’individuare e nominare un Data Protection Officer (DPO): figura la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali

 

Fase 4 – Definizione delle politiche di sicurezza e valutazione dei rischi: valutazione e attuazione di tutte le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR. Questa fase è espressione, soprattutto, del principio di responsabilizzazione del titolare (accountability);

 

Fase 5 – Processo di Data Breach: al fine di assicurarsi di aver adottato tutte le procedure idonee a scoprire eventuali violazioni, generare adeguata reportistica e indagarne le cause nonché gli effetti della violazione subita;

 

Fase 6 – Implementazione dei processi per l’esercizio dei diritti dell’interessato.

GDPR-PRIME-COSE-DA-FARE-1.png

Richiedi informazioni

Studio tecnico Varani

Viale del Tintoretto, 290

00142 Roma

email    valter_varani@yahoo.it

Cell       389 48 03 931

Tel/Fax 06 5220 7615

Skype   vvarani

bottom of page