Dal momento che sempre più spesso si sente parlare del nuovo Regolamento Europeo in materia di protezione dei dati personali, abbiamo deciso di fornirvi un articolo completo che vi permetta innanzitutto di capire cosa sia tale Regolamento e, in seguito, di comprendere quali siano gli impatti che tal Regolamento avrà sulla vostra azienda.
Cosa è il GDPR?
Il Regolamento Generale sulla Protezione dei Dati (in inglese “General Data Protection Regulation”) è un Regolamento adottato dalla Commissione Europea (Regolamento UE 2016/679) con il quale si pone l’obiettivo di rafforzare e rendere più omogenea la protezione dei dati personali all’interno dei confini dell’Unione europea. Il Regolamento, entrato in vigore il 25 maggio del 2016, avrà efficacia obbligatoria a partire dal 25 maggio 2018.
Quali impatti potrebbe avere sulla vostra azienda?
Le novità del GDPR richiedono particolare attenzione e una pianificazione preventiva, dal momento che alcuni cambiamenti richiesti dal GDPR potrebbero comportare modifiche organizzative significative dell’azienda, anche con la possibilità di interventi di natura tecnologica:
Il GDPR impone alle aziende la garanzia che tutto quanto richiesto sia GARANTITO e PROVATO.
Sì, è proprio così! Il GDPR si basa sul principio di accountability (che potrebbe essere tradotto in “responsabilizzazione e obbligo di rendicontazione“), e quindi richiede l’adozione di una serie di strumenti che saranno necessari per provare il rispetto dello stesso.
In altre parole, il titolare del trattamento dei dati deve essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi: deve dimostrare in modo positivo e proattivo trattamenti di dati effettuati sono adeguati e conformi al regolamento europeo in materia di privacy.
Registro delle attività di trattamento
Il primo documento che dovrà essere redatto è il registro delle attività di trattamento, il quale deve contenere le informazioni sui dati registrati: finalità di trattamento, descrizione delle categorie di utenti interessati e i dati personali trattati.
Oltre tali informazioni, è richiesto che nel registro vengano anche inserite tutte le misure di sicurezza implementate per la protezione di tali dati.
Il registro sarà il primo documento che verrà richiesto nei casi di controlli rispetto a questo regolamento. Una redazione errata o imprecisa potrebbe comportare un richiamo per richiedere un adeguamento o pesanti sanzioni.
In aggiunta alle informazioni obbligatorie, è comunque consigliato di aggiungere a queste ultime anche le informazioni relative alla base giuridica del trattamento dei dati, i gestionali, CRM o altre applicazioni che gestiscono questi dati.
Passo fondamentale per poter definire un piano per il rispetto del regolamento è conoscere alla perfezione l’infrastruttura informatica dell’azienda. Recuperare le informazioni relative agli applicativi è sicuramente il metodo più veloce per riuscire ad arrivare a questo obiettivo.
Una volta definita la situazione attuale, bisogna capire se sia necessario un Piano di adeguamento
Il piano di adeguamento è un documento che conterrà al suo interno tutte le pratiche che verranno attuate nei mesi successivi per adeguarsi alla normativa; in sostanza, si tratta si tratta di un documento dove andranno identificati e valutati i principali gap da colmare per essere conformi alle disposizioni previste dal GDPR.
Il DPO (Data Protection Officer). Che ruolo svolge e quando è obbligatorio?
Il DPO è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati.
Viene designato sistematicamente dal titolare e dal responsabile del trattamento in tre occasioni:
- quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell’esercizio delle loro funzioni);
- quando i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- quando il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.
In tutti gli altri casi è facoltà dei titolari e responsabili del trattamento, nonché di loro associazioni o altri organismi che li rappresentano, designare il responsabile della protezione dati che può agire per dette associazioni e organismi.
Il DPO viene selezionato e scelto in base alle sue qualità professionali e in particolar modo il titolare e il responsabile del trattamento devono considerare la preparazione del DPO in ambito di trattamento dati, sia sul piano teorico che su quello pratico. Tale figura può essere selezionata tra i dipendenti del titolare del trattamento oppure può essere un libero professionista, esterno e autonomo, ingaggiato in base a un contratto di servizi.
Alla luce di queste novità, cosa posso fare?
Dopo che il Garante della Privacy avrà pubblicato delle linee guida o delle direttive sugli aspetti pratici del GDPR in Italia, che si esprimerà verosimilmente nei prossimi 3-5 mesi, e poi si potrà pensare a due possibili scenari, la vostra azienda avrà due scenari alternativi:
- armarsi di pazienza e studiarsi per bene tutto il regolamento attuale e quello in divenire, studiarsi per bene come l’azienda stia gestendo i dati e iniziare a definire il registro dei trattamenti e l’eventuale piano di adeguamento al GDPR.
- contattare BTecno S.r.l., società esperta in tema di privacy ed aggiornata sulle ultime novità introdotte dal GDPR e con vasta esperienza sul campo della gestione informatizzata dei dati, per avere una consulenza precisa e customizzata sulle vostre esigenze, predisponendo inoltre tutta la documentazione necessaria alla vostra azienda per essere conforme alle disposizioni previste dal GDPR.