Nuovo Regolamento Europeo

Il Nuovo Regolamento Europeo

Pillole di Privacy

Le novità di impatto per le aziende

L’entrata in vigore è stata lo scorso 25 maggio 2016 e la sua applicazione è prevista per il 24 maggio 2018. Ecco una panoramica sulle più importanti novità e sulle possibili insidie.

Le aziende hanno 2 anni di tempo per uniformarsi e occorre essere pronti sin da subito. le autorità garanti stanno già lavorando assiduamente e chiedono collaborazione attraverso il raggiungimento da parte di tutte le imprese della conformità all’attuale decreto 196/03 da considerarsi base di partenza più che solida per affrontare le novità.

ACCOUNTABILITY: è il principio dominante della normativa. l’azienda dovrà essere sempre in grado di dimostrare la compliance al regolamento attraverso forme di garanzia ex ante. La responsabilizzazione dell’azienda è totale e pro attiva. Occorrerà non solo l’adozione di misure tecniche ma, soprattutto la predisposizione di policy interne che garantiscano il rispetto delle norme da parte del personale dipendente.

DATA BREACH: le aziende dovranno notificare all’autorità garante le violazioni entro 72 ore e, nei casi più gravi, informare gli interessati al trattamento coinvolti dalla violazione.

DIRITTI DEGLI INTERESSATI: sono stati potenziati (diritto all’oblio, limitazioni del trattamento ecc.) sarà necessario prestare la massima attenzione alle richieste provenienti da qualsiasi fonte, in particolare, occorrerà istruire i propri dipendenti a riconoscere le forme di esercizio dei diritti da parte degli interessati.

REINTRODUZIONE DELL’OBBLIGO DI ISTRUIRE/FORMARE LE PERSONE addette al trattamento dei dati artt. 29 e 32.

SICUREZZA DEL TRATTAMENTO: tutte le aziende dovranno effettuare un’analisi dei rischi incombenti sui dati al fine di porre in essere le misure tecniche e organizzative (policy) adeguate per abbassare il livello di rischio rilevato.

VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI: è richiesta una specifica analisi ex ante sui trattamenti indicati nell’art. 35.

SANZIONI FINO A 20.000.000 DI EURO O PER LE IMPRESE FINO AL 4% DEL FATTURATO MONDIALE: per la prima volta sono previste anche per la violazione dei principi di base del trattamento quali liceità, correttezza, trasparenza, finalità dichiarate, adeguatezza, pertinenza, condizioni per il consenso e trattamento di dati sensibili.

La conformità

Di seguito un breve elenco degli adempimenti ai quali è indispensabile avere adempiuto:

SITO WEB:deve essere a norma, ogni form di raccolta dati deve avere un’informativa specifica con le richieste di consenso esatte. Anche i dati di navigazione devono avere l’informativa (informativa sito). Occorre una gestione dei cookie in linea con quanto enunciato dal Garante nel provvedimento 8 maggio 2014. Il Garante privacy quasi ogni giorno emana sanzioni sui siti.

INFORMATIVE:è importante capire che il contenuto obbligatorio declinato all’art. 13 è imprescindibile, ma è altrettanto importante sapere quali informative sono da utilizzare e come farlo. L’evolversi della normativa ha consentito di semplificare la metodologia di comunicazione con l’interessato.

CONTROLLI - ART. 4 STATUTO DEI LAVORATORI (riformato dal Job Act):prevede che per effettuare controlli sugli strumenti di lavoro, il lavoratore deve essere preventivamente informato e istruito sulle modalità di svolgimento degli stessi e sulle conseguenze. Per essere conformi è necessario adottare policy in linea con il Codice Privacy come espressamente previsto dall’art. 4.

MARKETING, VIDEOSORVEGLIANZA, GEOLOCALIZZAZIONE, BIOMETRIA, CLOUD: prevedono vari adempimenti specifici (notifiche, nomine….) indicati nei provvedimenti del Garante dedicati all’argomento.

MISURE DI SICUREZZA: quanto previsto dall’all. B e da successivi provvedimenti (amministratore di sistema, internet e posta elettronica ecc) deve essere assolutamente conseguito. La sicurezza dei dati è il primo punto da rispettare per l’attuale normativa e per il Regolamento europeo. Non solo sicurezza informatica dei dati ma anche dei trattamenti raggiungibile attraverso policy e formazione.

NOMINE AGLI INCARICATI: il Garante, attraverso la Guardia di Finanza, ha spesso elevato sanzioni per la mancata adozione di nomine specifiche agli incaricati.

TRATTAMENTO DI DATI IN ESTERNO: l’attuale normativa e ancor più quella europea obbligano a regolare i rapporti con i soggetti ai quali affidiamo trattamenti di dati. Il Regolamento impone la nomina a responsabili esterni.

Per verificare se gli adempimenti sono stati adempiuti si consiglia un audit accurato in linea con quanto previsto dalla iso 19011 e dai provvedimenti e linee guida del garante.

Se vuoi ricevere un check gratuito del sito e delle informative contattaci

La divisione Privacy di CASTgroup nasce nel 2004, professionisti esperti si occupano da subito unicamente di risolvere problemi relativi alla tutela dei dati, secondo i dettami del Codice della Privacy appena enrtato in vigore, sotto tutti gli aspetti: legale, procedurale, informatico e della formazione del personale.

Dal 2004 è certificata come consulente Privacylab , dal 2012 è consulente qualificato privacy Federprivacy e da Marzo 2014 è consulente ANDIP e unico delegato ANDIP per l'Emilia Romagna.

Tutti i membri del team hanno conseguito il "Master di certificazione e specializzazione per consulenti della privacy e privacy officer".

"Dalla partecipazione al Privacy Day ed, in particolare, dagli interventi dei membri dell'Autorità Garante, è emersa inequivocabilmente la necessità di mettere in atto le misure di adeguamento già applicabili. In primis l'adozione di misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, anche in considerazione agli obblighi di notifica e comunicazione conseguenti ad un Data breach che, ricordo, riguarderanno tutti i Titolari".

Avv. Daniela Guidi - Consulente Privacy CASTGroup

Pubblicata Dal 27/02/2017Al 30/10/2017 09:25:38