Gli adempimenti per la privacy

Il Regolamento UE relativo alla tutela dei dati personali è operativo dal 25 maggio 2018 e coinvolge tutte le aziende.

La grande novità normativa consiste nella responsabilizzazione del titolare del trattamento, ossia dell’azienda, che deve adottare misure tecniche ed organizzative adeguate al proprio contesto.

In caso di mancata conformità al Regolamento viene applicato un sistema sanzionatorio pesante che comprende sanzioni penali e sanzioni amministrative fino al 4% del fatturato annuo.

Il Garante della privacy ha previsto un periodo transitorio di 8 mesi nel quale i controlli da parte della Guardia di Finanza saranno sostanziali ma meno formali e le sanzioni saranno ridotte. Nei controlli si terrà conto del piano di adeguamento predisposto dall’azienda e del relativo stato di avanzamento.

E’ opportuno che le aziende predispongano un piano di adeguamento definendo le priorità e i tempi.

Adeguamento al regolamento privacy ue 2016/679

 

Il Regolamento tratta la tutela dei dati personali dei cittadini della UE ed è operativo dal 25 maggio 2018.

 

Cosa si intende per dati personali

 

Con il termine dati personali si intendono tutte le informazioni che si riferiscono ad una persona fisica, ad esempio:

  • dati anagrafici
  • dati di contatto (telefono, cellulare, e-mail, …)
  • dati finanziari
  • convinzioni politiche, religiose e di altro tipo
  • stili di vita, preferenza, abitudini di acquisto
  • informazioni sanitarie, sessuali, giudiziarie
  • informazioni relative alla sorveglianza sanitaria dei dipendenti
  • immagini, riprese di videosorveglianza, geo-localizzazione
  • indirizzo IP, contenuto della casella di posta elettronica

Quali aziende sono coinvolte

 

Tutte le aziende sono coinvolte in quanto trattano dati personali dei dipendenti, collaboratori, clienti e fornitori.  Infatti per trattamento si intende qualsiasi operazione effettuata sui dati personali, con o senza strumenti informatici: raccolta, archiviazione, consultazione, modifica, comunicazione, cancellazione, ecc.

 

Le nuove responsabilità in capo alle aziende

 

La grande novità normativa consiste nella responsabilizzazione del titolare del trattamento, quindi dell’azienda, che deve adottare misure tecniche ed organizzative adeguate al proprio contesto. In particolare è stato introdotto il concetto  anglosassone di accountability: responsabilizzazione del Titolare del trattamento che deve essere proattivo, adottare misure di sicurezza adeguate al proprio contesto e deve poter dimostrare in ogni momento la propria  compliance al Regolamento UE.

 

Inoltre il Titolare deve comunicare tempestivamente al Garante e agli interessati le eventuali violazioni di dati personali (data breach). Una violazione può consistere, ad esempio nella perdita di dati personali critici, nella alterazione anche involontaria di dati o nella comunicazione di dati personali ad estranei (caso tipico è quello di una e-mail contenente dati confidenziali inviata per errore all’indirizzo sbagliato). Altri casi di violazioni possono verificarsi a seguito di attacchi informatici che sottraggono o bloccano dati. In questi casi al di là dell’obbligo di denuncia vi possono essere ripercussioni in termini di credibilità  e immagine aziendale.

Un altro aspetto importante è relativo alla gestione dei nuovi diritti degli interessati che possono chiedere di conoscere quali loro dati vengono trattati, oppure di aggiornarli o di cancellarli. A questi interessati devono essere date riposte esaustive in tempi definiti (entro un mese).

I rischi informatici

 

Il Regolamento affronta la problematica della sicurezza informatica e in particolare l’esattezza, riservatezza, integrità dei dati. Questi rischi sono esplosi negli ultimi anni a seguito di:

  • diffusione dei dispositivi mobili che sono per loro natura più vulnerabili;
  • utilizzo di reti non protette;
  • attacchi informatici che sono sempre più sofisticati e che mirano a sottrarre informazioni in quanto i dati personali hanno assunto un valore commerciale monetizzabile.

Un’altra tematica, non relativa ai dati personali, ma  altrettanto importante per le aziende è quella della sicurezza dei dati aziendali confidenziali e del segreto industriale che possono essere minacciati dagli attacchi informatici (cybercrime).

 

Come gestire la problematica della privacy

 

La materia è articolata e complessa e il sistema sanzionatorio è pesante (sanzioni penali e sanzioni amministrative fino al 4% del fatturato annuo).

 

Il Garante della privacy ha previsto un periodo transitorio di 8 mesi nel quale i controlli da parte del Garante e della Guardia di Finanza saranno sostanziali ma meno formali, le sanzioni saranno ridotte e nei controlli si terrà conto del piano di adeguamento predisposto dall’azienda e del relativo stato di avanzamento.

 

Il piano di adeguamento

 

Le fasi di adeguamento sono:

  • analisi dello stato di fatto e delle relativa compliance
  • predisposizione del registro dei trattamenti
  • valutazione dei rischi e analisi di impatto con approfondimento delle aree critiche
    • sorveglianza sanitaria
    • videosorveglianza
    • gestione immagini
    • geo-localizzazione
    • gestione dati biometrici
    • posta elettronica e internet
    • sito web aziendale e mailing list clienti
    • information technology
  • stesura e aggiornamento della documentazione
  • individuazione dei ruoli e responsabilità
  • definizione delle politiche di sicurezza
  • implementazione delle misure tecniche ed organizzative
    • messa in sicurezza dei sistemi informatici
    • procedure per la risposta agli interessati e per la denuncia delle violazioni
    • regolamento interno per l’utilizzo della posta elettronica e di internet
    • formazione dei responsabili e degli addetti ai trattamenti
  • attivazione dei servizi di Data protection officer
    • consulenza al titolare e ai responsabili del trattamento
    • controllo della compliance normativa
    • formazione dei responsabili e degli addetti ai trattamenti
    • punto di contatto con il Garante

Autore: Francesco De Bartolomeis (DPO e consulente privacy)

Hai bisogno di essere supportato nel percorso di adeguamento al regolamento privacy?
Scopri i nostri servizi!

  • Gap analysis:consiste in un audit finalizzato a verificare lo stato di fatto rispetto alle prescrizioni normative. E’ previsto un sopralluogo in azienda e interviste alle funzioni aziendali coinvolte nella privacy (risorse umane, qualità, amministrazione, area commerciale e marketing, ecc.). Viene redatto un report per la direzione contente le raccomandazioni e le priorità.
  • Servizi di supporto per l’adeguamento tecnico ed organizzativo: comprendono la predisposizione del registro dei trattamenti, la valutazione del rischio, le lettere di incarico, le procedure operative.
  • Formazione dei responsabili e degli addetti al trattamento.
  • Messa a disposizione della figura di Data Protection Officer (DPO) con il compito di consulente del Titolare del trattamento e punto di contatto con il Garante.

Scrivi a info@eshqconsulting.it o chiama il 02.47957969

Translate »