GDPR REG. UE 2016/679

Nuovi adempimenti DATA PROTECTION (ex PRIVACY)

Il 25 MAGGIO 2018 diventa applicabile il nuovo Regolamento comunitario in materia di protezione dei dati  – GDPR – Reg. UE 2016/679.

 

ADEMPIMENTI IN BASE ALLA NUOVA NORMATIVA

I soggetti economici devono verificare e adeguare il proprio sistema di trattamento dei dati in base alle disposizioni del GDPR.

Di seguito vi indichiamo in modo schematico gli adempimenti necessari per adeguarsi alla nuova normativa:

 

1 – VALUTAZIONE DELLA COMPLIANCE (AUDIT)

In base all’organizzazione aziendale e alle diverse attività svolte si deve effettuare l’analisi della seguente documentazione per pianificare gli interventi necessari:

  • lettere di nomina degli incaricati e degli amministratori di sistema;
  • clausole contrattuali con i responsabili esterni;
  • informative (a dipendenti, clienti, utenti, etc.);
  • modelli di consenso diversi in base ai trattamenti effettuati;
  • DPS (documento programmatico sulla sicurezza);
  • policy e/o regolamenti interni in materia di trattamento dati.

 

2 – IMPOSTAZIONE DEL REGISTRO DEI TRATTAMENTI

Secondo le indicazioni del garante, il registro dei trattamenti è un elemento fondamentale per pianificare gli adempimenti necessari e per predisporlo è necessario:

  • censire tutti i trattamenti di dati;
  • individuare eventuali trasferimenti di dati verso paesi extra Ue (dal 2022 anche Gran Bretagna);
  • raccogliere tutte le informazioni di trattamento elettronico (tra cui applicazioni, servizi esternalizzati, sistemi controllo dati, etc.);
  • analizzare l’attività di marketing e l’eventuale utilizzo di soft spam.

 

3 – INDIVIDUAZIONE DEI RUOLI E DELLE RESPONSABILITA’

Devono essere individuati eventuali contitolari, responsabili e consulenti esterni al fine di predisporre accordi con gli stessi.

Deve essere verificata la necessità di nomina di un DPO (Data Protection Officier) a cui affidare la gestione degli adempimenti privacy.

Deve essere definito un sistema di controllo interno e di formazione per il personale.

 

4 –  PROCEDURE PER L’ESERCIZIO DEI DIRITTI DEGLI INTERESSATI

Il GDPR ha rafforzato i diritti degli interessati, introducendone anche di nuovi (per es. diritto all’oblio, diritto alla conservazione dei dati per un periodo limitato, diritto alla portabilità, etc). Deve quindi essere rafforzato il contesto di garanzie e devono essere riviste le procedure per agevolare l’esercizio dei diritti degli interessati.

 

5 – STESURA E/O MODIFICA DELLA DOCUMENTAZIONE

Deve essere aggiornata la documentazione esistente e deve essere predisposta la documentazione mancante secondo le indicazioni del GDPR (es. informative, moduli di consenso, eventuali accordi con contitolari, lettere di incarico ai responsabili esterni, policy aziendali).

 

6 – ANALISI DEI RISCHI E DEFINIZIONE DELLE MISURE DI SICUREZZA

Nell’ambito dell’analisi dei rischi è necessario:

  • censire le attuali misure di sicurezza organizzative, fisiche, logiche e informatiche;
  • definire le misure necessarie a ridurre i rischi nel trattamento dati (es. pseudonimizzazione, cifratura, etc.);

 

7 – DPIA – VALUTAZIONE D’IMPATTO

In base al nuovo concetto di accountability (responsabilizzazione del Titolare del trattamento) si rende necessario:

  • individuare i trattamenti per i quali è necessario effettuare la valutazione d’impatto;
  • effettuare la DPIA (valutazione d’impatto) per singoli trattamenti;
  • definire le modalità per il monitoraggio ed eventuale revisione della DPIA.

 

8 – PROCEDURE IN CASO DI DATA BREACH

Devono essere definite le procedure in caso di data breach.

Il data breach è la perdita, distruzione o diffusione indebita di dati personali, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità. In questi casi si deve verificare l’obbligo di comunicare eventuali violazioni di dati personali all’Autorità garante e, in alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative.

SANZIONI

Il GDPR ha inasprito il sistema sanzionatorio prevedendo per alcune violazioni sanzioni amministrative fino a €.20.000.000,00 (ventimilioni/00) o fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore.

 

 

 

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Sentitevi liberi di contribuire!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *