GDPR solutions

GDPR - tutte le informazioni

Fare clic sul pulsante modifica per cambiare questo testo. Lorem ipsum dolor sit amet consectetur adipiscing elit dolor. Fare clic sul pulsante modifica per cambiare questo testo. Lorem ipsum dolor sit amet consectetur adipiscing elit dolor

Il Regolamento Europeo 679/2016, o G.D.P.R. (General Data Protection Regulation), introduce in forma strutturata una serie di attenzioni relativamente ai processi di trattamento dei dati personali di soggetti riconducibili per appartenenza all’Unione Europea.

In quanto Regolamento Europeo viene immediatamente recepito dall’ordinamento dei Paesi membri dell’Unione Europea tra cui l’Italia che a settembre ha definitivamente regolamentato i vari aspetti tra vecchia e nuova privacy.

I termini per la fase sanzionatoria  erano fissati al 25 maggio 2018. Sono stati poi sospesi fino al 15 settembre data in cui il governo ha emesso l’ultimo decreto di cui sopra.

Ad oggi, in caso di sanzione, la stessa verrebbe sospesa richiedendo all’azienda di dimostrare di essersi messa in regola entro gennaio 2019. Restano comunque attive tutte le altre conseguenze derivanti da un potenziale attacco cyber e/o dalla potenziale denuncia di un cliente o di un fornitore.

Mentre le sanzioni penali rimangono di competenza di ogni singolo Stato, le sanzioni amministrative sono disciplinate dagli articoli 79 e 79/b del Regolamento stesso.

L’impatto del Regolamento Europeo 679/2016 sulle partita iva e sulle aziende che operano anche nel WEB è più importante e sviluppa implicazioni che devono trovare riscontro opponibile a terzi nell’architettura dei sistemi utilizzati.

Regolamento Europeo 679/2016 – Concetti principali

Il Regolamento europeo esprime i seguenti concetti principali che ti riassumo al fine di far massima chiarezza.

Accountability:

È l’obbligo da parte delle imprese di responsabilità e rendicontazione rispetto al trattamento dei dati.

Il titolare del trattamento dei dati deve essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi.

Privacy by Design:

Per privacy by design si intende, in breve, la necessità di tutelare il dato sin dalla progettazione di sistemi informatici che ne prevedano l’utilizzo.

Qualsiasi progetto è necessario che sia realizzato considerando sin dalla fase di progettazione la riservatezza e la protezione dei dati personali.

Tutto ciò richiede:

Una precisa analisi per valutare le singole realtà di partenza;

Identificazione di adeguate strategie di intervento;

Identificazione ed Attuazione dei correttivi necessari;

Identificazione e creazione delle soluzioni complete.

Privacy by Default:

I titolari e i responsabili del trattamento dei dati devono mettere in atto misure tecniche e procedurali adeguate per garantire le necessarie misure di sicurezza in caso di attacco informatico.

Tutto ciò richiede che:

I dati personali siano limitati ad ogni specifica finalità del trattamento e per il tempo necessario al trattamento stesso, definendo di conseguenza il periodo di conservazione e l’accessibilità a gli stessi;

Obbligo di denuncia entro le 72 ore alle autorità competenti in caso di attacco informatico;

Obbligo di indagine che comprende: la sorgente da cui è partita la violazione, le modalità di aggressione, il tipo di dati violati, i soggetti che sono stati coinvolti, ciò che l’Azienda attuerà al fine di evitare il ripetersi di questa tipologia di attacco;

Obbligo di notifica a tutti i contatti i cui dati siano o possano essere stati violati.

D.P.O. Data Protection Officer:

Il Data Protection Officer, ovvero il Responsabile della protezione dei dati personali (da non confondere con l’attuale Responsabile del Trattamento!) è nominato dal Titolare del Trattamento.

Il D.P.O. svolgerà la sua attività in piena autonomia e indipendenza, libera da conflitti di interesse, in particolare nell’ esecuzione dei suoi compiti di controllo e vigilanza.

Per ricoprire questo ruolo, il Titolare del Trattamento potrà avvalersi di un proprio dipendente (quindi essere un soggetto interno all’impresa), oppure sottoscrivere un contratto di servizi.

Date le caratteristiche intrinseche della materia normativa la preparazione documentale è da intendersi soggetta ad integrazioni e aggiornamenti, sostanzialmente in equilibrio dinamico coerentementecon le esigenze funzionali interne rispetto ai trattamenti sui dati, da un lato, e con le linee guida pubblicate dal Garante sulla Privacy, dall’altro.

IN SINTESI

Il materiale documentale ad oggi necessario è costituito principalmente da “Documento di Valutazione di Impatto sul Trattamento dei Dati” (Art. 35), “Codice di Condotta” (Art. 40), “Registri dei Trattamenti” (Art. 30), “Informative & Consenso” (Art. 13 e 14).

Il Garante sulla Privacy pubblica periodicamente delle Linee Guida relative alle modalità di applicazione del Regolamento Europeo 679/2016, Linee Guida che si traducono in integrazioni al materiale documentale presente o in redazione di ulteriore documentazione.

Lo scopo della norma non è di ridurre o limitare il trattamento dei dati, ma di dare contezza a quanti hanno diritto di verifica di quali e quanti trattamenti vengano posti in essere sui dati personali.