Privacy 2018. Le organizzazioni alla prova del nuovo GDPR

I nostri corsi base per RSPP e ASPP
27 marzo 2018
Corsi di formazione a Ravenna – RSPP e ASPP
30 marzo 2018

Il 25 maggio 2018 entrerà in vigore in tutta l’Unione Europea il Regolamento UE 679/2016, più noto come GDPR (General Data Protection Regulation). Il nuovo Regolamento, che sostituisce la Direttiva 95/46/Ce, apporterà sostanziali modifiche alla disciplina del trattamento e della libera circolazione dei dati personali. In altre parole, con l’introduzione del GDPR, le organizzazioni saranno chiamate a ridefinire, in modo più stringente, il loro rapporto con la privacy e la sua corretta gestione. 

Il nuovo Regolamento coinvolgerà direttamente tutti gli enti, pubblici e privati, che trattano i dati personali delle persone residenti nell’Unione Europea. Tra le novità introdotte dal GDPR 2018 spiccano una maggiore responsabilizzazione richiesta alle organizzazioni in termini di consapevolezza degli adempimenti e degli obiettivi da raggiungere e, per chiunque non rispetti il Regolamento, l’applicazione di sanzioni pecuniarie fino a 20 milioni di euro o al 4% del fatturato globale annuale, se superiore.

Questo significa che nessuna organizzazione può permettersi di sottovalutare o trascurare l’entrata in vigore del GDPR 2018. La scadenza di maggio è alle porte.


Il nuovo GDPR è diventato realtà, ma la nuova sfida della privacy ti spaventa?

Non perdere altro tempo! La nostra competenza è al tuo servizio.

 

 

CHE COS’È IL GDPR


Il GDPR è il nuovo Regolamento generale sulla protezione dei dati dei cittadini europei che entrerà pienamente in vigore in tutti gli Stati dell’Unione il prossimo 25 maggio 2018.

Con la sua introduzione viene mandata in soffitta la precedente direttiva 95/46/Ce, nata appunto nel 1995 quando il flusso e lo scambio dei dati, anche sensibili, erano notevolmente inferiori. A quel tempo, la Rete come la conosciamo oggi non esisteva e colossi come Google e Facebook non erano ancora all’orizzonte.

La rivoluzione introdotta dal GDPR 2018 è tale che, in uno degli ultimi Consigli dei Ministri, il governo uscente ha approvato il Decreto legislativo che di fatto abroga il Codice privacy finora in vigore (D.Lgs. 196/2003), introducendo le disposizioni per adeguarsi al GDPR.

 

LE PRINCIPALI NOVITÀ DEL GDPR 2018


Le novità introdotte dal Regolamento europeo per il trattamento e la gestione dei dati personali  definiscono in modo più puntuale e specifico l’area dei diritti e dei doveri tanto delle organizzazioni interessate quanto degli utenti. 

  1. Accountability o responsabilizzazione

I titolari del trattamento dovranno assicurare il rispetto dei principi del GDPR, mediante comportamenti proattivi e sempre dimostrabili. In altre parole, il titolare del trattamento non dovrà soltanto strutturare la propria organizzazione in modo da garantire un livello di sicurezza adeguato sul piano normativo, ma anche giustificare le scelte compiute in merito.

  1. Nuovi diritti

Vengono riconosciuti nuovi diritti agli interessati del trattamento, quali:

diritto alla portabilità dei dati, attraverso il quale l’utente può ottenere dal titolare del trattamento i dati personali che lo riguardano e trasmetterli ad un altro titolare del trattamento, come può essere ad esempio un’altra azienda;
diritto alla cancellazione (diritto all’oblio);
diritto di proporre reclamo all’autorità di controllo.

  1. Privacy by Design e Privacy by Default

Il GDPR 2018 prevede l’implementazione di misure atte a proteggere i dati personali fin dalla fase di progettazione (by design) di un servizio, di un prodotto (come nel caso di un software) o di un processo. L’obiettivo, in questo caso, è integrare già nel momento della creazione di tali elementi le regole e i principi di protezione dei dati, riducendo in questo modo il relativo trattamento.

La protezione per impostazione predefinita (privacy by default), invece, implica l’attuazione di interventi finalizzati a garantire soltanto il trattamento di quei dati personali necessari per la specifica finalità perseguita.

  1. Approccio basato sul rischio

Un’altra importante novità introdotta dal GDPR è che il titolare della gestione dei dati valuti il rischio connesso ai trattamenti già effettuati e il loro impatto sulla protezione dei dati personali stessi. Se necessario, è richiesta l’esecuzione di una specifica Valutazione di Impatto sui Dati Personali (DPIA).

  1. Responsabile della Protezione dei Dati

Una fondamentale innovazione del GDPR 2018 è costituita dalla designazione di un RDP (Data Protection Officer – DPO), con funzioni che vanno dalla sorveglianza dell’applicazione del GDPR alla promozione della cultura della tutela dei dati personali, fino alla gestione dei rapporti con l’Autorità Garante.

Il DPO, in altri termini, è una sorta di controllore il cui compito è verificare la corretta applicazione del Regolamento.  Tale figura è obbligatoria nei seguenti casi:

– nella PA e negli enti pubblici, ad eccezione delle autorità giudiziarie;
– nelle aziende che presentano più di 250 dipendenti;
– nelle aziende che trattano dati sensibili e su larga scala.

  1. Registro di trattamenti

Il GDPR 2018 introduce poi l’obbligo, per tutti gli organismi con più di 250 dipendenti, o che effettuano trattamenti a rischio, di tenere un registro delle operazioni di trattamento.

  1. Notifica tempestiva

È introdotto l’obbligo di comunicazione all’autorità di controllo, entro 72 h dal momento in cui il titolare ne ha avuto conoscenza, delle violazioni dei dati personali, in subordine alla valutazione del rischio associato alla violazione.

  1. Codici di condotta e schemi di certificazione

Il GDPR introduce gli strumenti per aiutare le organizzazioni al raggiungimento della conformità e per attestare l’adeguatezza delle misure di sicurezza adottate.

 

 

LE SANZIONI PREVISTE DAL GDPR


Tra le novità più temute dalle organizzazioni spiccano le sanzioni per quanti non dovessero rispettare il GDPR. Nello specifico, il nuovo Regolamento impone che l’importo, da valutare in funzione dei numerosi elementi previsti nell’art. 83, possa toccare anche la cifra di:

  • 10 milioni di euro per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, per violazioni minori ( 8, 11, da 25 a 39, 42 e 43…)
  • 20 milioni di euro per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, per violazioni legate al rispetto dei diritti fondamentali ( 5, 6, 7 e 9, 12 a 22, 44 a 49).

Inoltre, ai sensi dell’articolo 84, i singoli Stati possono definire ulteriori sanzioniLe autorità di controllo, dal canto loro, mantengono poteri di ammonimento, ingiunzione, revoca di certificazioni e limitazione o divieto di trattamento, con inevitabili ripercussioni sul servizio erogato.

 

PRIVACY 2018: COSA DEVONO FARE LE AZIENDE


Quando entrerà in vigore, il GDPR riguarderà direttamente oltre 500 milioni di persone e si applicherà a tutte le organizzazioni, pubbliche e private, che trattano e gestiscono i dati personali di quanti risiedono nell’Unione Europea.

A fronte delle novità introdotte nel campo della privacy dal nuovo Regolamento europeo, le aziende sono chiamate a mettere in campo una serie di misure fondamentali per non incorrere nelle sanzioni previste dal GDPR.

 

PROTEZIONE DEI DATI


  1. Le aziende devono organizzarsi per dimostrare in modo documentato di aver fatto tutto ciò che è nelle loro possibilità per proteggere i dati personali a loro affidati.
  2. Le aziende sono chiamate a preservare i dati personali: dalla distruzione, dalla perdita o dalla modifica fortuita o illecita, e dalle divulgazioni o dagli accessi non autorizzati.
  3. Alle aziende è richiesto di monitorare il sistema delle protezioni per individuare eventuali violazioni (interne o esterne) ed effettuare tempestive comunicazioni ad autorità e interessati, nei casi previsti.

 

UTILIZZO DEI DATI


  1. Le aziende devono utilizzare i dati personali in modo lecito, corretto e trasparente.
  2. Le aziende sono chiamate a dimostrare di aver ricevuto un consenso esplicito per tutti i trattamenti effettuati.
  3. Alle aziende è richiesto di predisporre misure di data governance che includano la predisposizione di documentazione dettagliata e la continua valutazione del rischio.

 

CONOSCENZA DELL’UNIVERSO DEI DATI


Per ogni azienda è importante avere una chiara conoscenza di:

  1. quali siano i trattamenti effettuati e le categorie di dati personali gestiti;
  2. come vengano trattati e protetti i dati personali;
  3. dove siano localizzati i dati personali;
  4. chi è autorizzato a trattare i dati personali.

 

 

GDPR 2018: SCOPRI LE SOLUZIONI DI IGEAM PENSATE PER LE AZIENDE

Per venire incontro alle numerose sfide che attendono tutte le organizzazioni che gestiscono e trattano dati personali, Igeam e i suoi professionisti hanno messo a punto un piano di intervento complessivo capace di supportare le aziende nell’intero processo.

 

ASSESSMENT


 

  • Mappatura dei processi operativi e di business che coinvolgono il flusso dei dati personali.
  • Classificazione dei trattamenti e categorizzazione dei dati trattati.
  • Analisi del contesto operativo, delle articolazioni del sistema informativo e informatico e delle localizzazioni dei dati.
  • Analisi del contesto organizzativo aziendale.
  • Analisi di particolari trattamenti ad alto rischio (video sorveglianza, geolocalizzazione mezzi ed equipaggi…).
  • Basi di analisi dei rischi sulla protezione dei dati personali.
  • Valutazione della necessità di adempiere a specifici obblighi del GDPR (nomina del DPO, tenuta Registro dei trattamenti, Data Protection Impact Assessment, …)

 

PIANO DI ADEGUAMENTO


  • Realizzazione del modello organizzativo di gestione e controllo privacy, e predisposizione della documentazione di sistema.
  • Assistenza nella produzione e gestione:
    • di informative e consenso privacy;
    • delle clausole contrattuali nei rapporti con clienti e fornitori;
    • del registro dei rischi sui dati personali;
    • dell’organigramma privacy e nomine;
    • dei regolamenti interni sulla protezione dati personali e disciplinari di utilizzo sistemi informatici;
    • delle procedure operative (gestione violazioni, gestione delle richieste interessati);
    • del Registro dei Trattamenti (del Titolare e del Responsabile);
    • delle misure di sicurezza di ambito e di sistema.
  • Supporto all’individuazione del DPO – RDP (Responsabile Protezione Dati).
  • Sviluppo di applicativi per la gestione informatizzata degli adempimenti GDPR.
  • Piani di formazione mirati e personalizzati.

 

MANTENIMENTO


  • Aggiornamento normativo continuo.
  • Audit periodici per la verifica della conformità e riesame del Sistema di Gestione dei dati personali.
  • Formazione e aggiornamento: corsi in aula, pacchetti e-learning, libretti e opuscoli informativi.
  • Consulenza in caso di controlli da parte della Autorità di Controllo.
  • Assistenza consulenziale per le comunicazione a Garante e Interessati in caso di violazione dei dati.
  • Assistenza legale in caso di contenziosi.

 

 


Il nuovo GDPR è diventato realtà, ma la nuova sfida della privacy ti spaventa?

Non perdere altro tempo! La nostra competenza è al tuo servizio.