Il 25 maggio 2018 il Codice della Privacy (Decreto legislativo 196 del 2003) sarà sostituito dal nuovo Regolamento europeo sulla protezione dei dati (GDPR), che diverrà legislazione comune per tutte le 28 nazioni dell’UE.  L’impatto sulle aziende sarà significativo, considerati gli attuali obblighi previsti per non incorrere nelle pesanti sanzioni contenute nella normativa.  Le organizzazioni dovranno quindi valutare i cambiamenti richiesti dalla nuova normativa che potrebbero in alcuni casi incidere notevolmente sulle loro procedure organizzative.

In caso di violazioni del trattamento dati di cui è Titolare l’azienda, la stessa potrà essere sottoposta ad una sanzione sino al 4% del fatturato annuo globale mondiale.  È quindi fondamentale effettuare un’analisi attenta degli effetti del Regolamento sulla gestione interna dei dati.

Il Regolamento Europeo disciplina i casi in cui la gestione dei dati è autorizzata, le misure di sicurezza da osservare e le relative sanzioni in caso di inadempienza.

Il GDPR prevede livelli di adempimenti diversi a seconda dei trattamenti che vengono effettuati dal titolare, pertanto il sistema privacy aziendale deve essere creato su misura per ogni realtà imprenditoriale, partendo da un’attività di mappatura dei dati aziendali, rivedendo chi fa che cosa e facendo chiarezza nell’organizzazione e nel trattamento dei dati aziendali.

È stato introdotto il principio di responsabilizzazione o “accountability”, pertanto i titolari sono tenuti non soltanto a garantire l’osservanza delle disposizioni del regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza, attuando adeguate misure tecniche e organizzative sia nell’atto di progettazione che nell’esecuzione del trattamento; inoltre, i dati devono essere trattati per le finalità previste e per il periodo strettamente necessario.

Tra le principali attività, segnaliamo l’istituzione, obbligatoria per le aziende che trattano dati particolarmente critici o sensibili e per gli Enti pubblici, del Data Protection Officer, che dovrà essere indipendente, competente e non necessariamente interno all’impresa.

 

Quali servizi offre Alfasic S.r.l.

  • audit di conformità di procedure interne, nomine, ambienti di lavoro
  • mappatura dei soggetti che intervengono nel trattamento dati, nomina dei responsabili e addetti al trattamento, formule di informative e consensi in relazione alla specifica tipologia di dato trattato
  • formazione obbligatoria (presso sede cliente o in sessioni multi aziendali)
  • realizzazione di policy e “buone pratiche” in funzione del principio dell’accountability, così da dimostrare la conformità dell’azienda in funzione dei propri processi interni.
  • valutazione dei rischi ed identificazione dei trattamenti: fondamentale per tracciare un perimetro dei rischi a cui è sottoposto un processo e Privacy Impact Assessment, documento, che contiene la descrizione sistematica dei trattamenti, finalità, rischi, nonché le misure di sicurezza attuate per la mitigazione del rischio
  • assunzione del ruolo di Responsabile per la Protezione dei Dati o Data Protection Officer (DPO) esterno, in funzione dello specifico trattamento per cui il Regolamento richieda l’obbligo di individuazione e nomina).