Contattaci » (+39)0306585648

GDPR

 

Adeguamento europeo per la privacy

a che punto sei ?

 

Fonte: Garante per la protezione dei dati personali è un'autorità amministrativa indipendente istituita dalla cosiddetta legge sulla privacy (legge 31 dicembre 1996, n. 675) - che ha attuato nell'ordinamento giuridico italiano la direttiva comunitaria 95/46/CE - e oggi disciplinata dal Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003 n. 196).

Il Regolamento generale per la protezione dei dati personali n. 2016/679 (General Data Protection Regulation o GDPR) è la normativa di riforma della legislazione europea in materia di protezione dei dati.

Pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in  vigore il 24 maggio 2016, ma la sua attuazione avverrà a distanza di due anni, quindi dal 25 maggio 2018
Trattandosi di un regolamento, non necessita di recepimento da parte degli Stati dell'Unione e verrà attuato allo stesso modo in tutti gli Stati dell'Unione senza margini di libertà nell'adattamento. Il suo scopo è, infatti, la definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all'interno dell'Unione europea. In tal senso, quindi, non vi sarà una normativa italiana in materia, quanto piuttosto dei chiarimenti in relazione ad alcuni aspetti, ad esempio sui poteri dell'Autorità Garante nazionale

Il nuovo regolamento è più esplicito della direttiva 95/46, proclamando la tutela del diritto alla protezione dei dati personali inteso come diritto fondamentale delle persone fisiche.  

Art. 1 par. 2 
Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali

In quest'ottica il principio cardine del nuovo regolamento è costituito dall'autodeterminazione informativa, un concetto ben noto in Germania dove la Corte Costituzionale ha dichiarato che è una condizione necessaria per il libero sviluppo della personalità del cittadino e e anche un elemento essenziale di una società democratica. 

Approccio risk based e responsabilizzazione 

Il regolamento pone con particolare enfasi l'accento sulla responsabilizzazione (accountability - in realtà la traduzione italiana non rende l'idea perchè accountability vuol dire "dover rendere conto del proprio operato" - ) del titolare e dei responsabili del trattamento, che si deve concretizzare nell'adozione di comportamenti proattivi a dimostrazione della concreta (e non meramente formale) adozione del regolamento. In particolare si evidenzia la necessità di attuare misure di tutela e garanzia dei dati trattati, con un approccio del tutto nuovo che demanda ai titolari il compito di decidere autonomamente le modalità e i limiti del trattamento dei dati alla luce dei criteri specifici indicati nel Regolamento: 

principio "privacy by design", in base al quale i prodotti e i servizi dovranno essere progettati fin dall'inizio in modo da tutelare la privacy degli utenti, cioè il trattamento deve essere previsto e configurato fin dall'inizio prevedendo le garanzie per tutelare i diriti degli interessati; 
rischio del trattamento, inteso come valutazione dell'impatto negativo sulle libertà e i diritti degli interessati. 

L'approccio del GDPR, più centrato sulla protezione dei dati invece che sull'utente medesimo, rappresenta in un certo modo un evidente passo indietro rispetto alla precedente normativa. Si tratta di un approccio basato sulla valutazione del rischio (risk based), con il quale si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. 
Un approccio risk based ha l'evidente vantaggio di pretendere degli obblighi che possono andare oltre la mera conformità alla legge, è sicuramente più flessibile e adattabile al mutare delle esigenze e degli strumenti tecnologici, ma ha anche lo svantaggio di delegare all'azienda la valutazione del rischio, rendendo più difficili le contestazioni in caso di violazioni. 

Inoltre, un approccio del genere considera più rischioso il trattamento dei dati di un minore rispetto a quelli di un adulto, come se i diritti di un adulto fossero meno fondamentali di quelli del bambino, e pone maggiore atttenzione al trattamento di un grande insieme di dati, laddove è pacifico che anche il trattamento di pochi dati può comportare un danno per i singoli. E', quindi, un approccio che tiene in maggiore considerazione le esigenze delle aziende, rendendo meno burocratica la gestione dei dati, con l'evidente effetto che aziende di minori dimensioni avranno minori obblighi, essendo questi parametrati anche all'organizzazione della stessa.

Le nuove norme prevedono, inoltre: 

- per i cittadini un più facile accesso alle informazioni riguardanti i loro dati e le finalità e modalità di trattamento degli stessi; 
- un diritto alla portabilità dei dati che consentirà di trasferire i dati personali tra i vari servizi online; 
- l'istituzionalizzazione del diritto all'oblio (denominato diritto alla cancellazione nel regolamento) come previsto dalla Corte di Giustizia europea, che consentirà di chiedere ed ottenere la rimozione dei dati quando viene meno l'interesse pubblico alla notizia; 
- l'obbligo di notifica da parte delle aziende delle gravi violazione dei dati dei cittadini; 
- le aziende dovranno rispondere alla sola autorità di vigilanza dello Stato nel quale hanno la sede principale (principio del "one stop shop" o sportello unico); 
- sanzioni amministrative fino al 4% del fatturato globale delle aziende in caso di violazioni delle norme. 

Base giuridica del trattamento

Il nuovo regolamento pone l'accento sul principio della trasparenza, in un'ottica di rispetto della finalità. Occorre, quindi, valutare attentamente gli scopi del trattamento, in modo da stabilire correttamente quali dati possono essere trattati e quali no (principio di essenzialità dei dati). 

Con il GDPR, inoltre, i titolari del trattamento dovranno identificare la base giuridica del trattamento (ad esempio il consenso dell'interessato) e documentarla, in quanto in relazione alla base giuridica possono variare i diritti. Ad esempio, è stato rafforzato il diritto alla cancellazione nel caso di trattamenti basati su consenso.
Inoltre, la base giuridica è tra gli elementi essenziali dell'informativa e deve essere evidenziata in riscontro ad una istanza di accesso. 

Trasparenza e conformità al regolamento

Il regolamento europeo prevede una serie di obblighi proattivi, a dimostrazione della concreta, e non meramente formale adozione del regolamento stesso. In tale ottica la predisposizione e l'aggiornamento della documentazione è essenziale, in quanto indice di corretta implementazione delle norme: 

- documentazione attestante i trattamenti svolti (registro dei trattamenti; valutazione di impatto, trasferimento dati extra UE); 
- documentazione attestante il rispetto dei diritti degli interessati (informative, moduli raccolta consenso); 
- documentazione di ripartizione ruoli e responsabilità (contratti e nomine dei responsabili esterni e incaricati; procedure interne, ecc...); 
- documentazione attestante le misure di sicurezza implementate. 

Ambito territoriale

Il Regolamento generale si applica ad ogni trattamento che ha ad oggetto dati personali, e a tutti i titolari (controller) e responsabili (processor) del trattamento stabiliti nel territorio dell'Unione, ma anche in generale a quelli che, offrendo beni e servizi a persone residenti nell'Unione, trattano dati di residenti nell'Unione europea (art. 3 del Regolamento). In tal modo la sua applicazione non è limitata alle sole aziende che si trovano in Europa, ma tutela tutti gli interessati che risiedono nel territorio dell'Unione indipendetemente da dove si attua il trattamento dei loro dati.
Il regolamento, invece, non si applica nei seguenti casi: 

- trattamenti effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione; 
- trattamenti effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, del Trattato dell’UE (politica estera e sicurezza); 
- trattamenti effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse; 
- trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico (vedi esenzione per uso personale).

Prepararsi al GDPR

Il GDPR è un complesso meccanismo composto da un elevato numero di ingranaggi, per cui sarà estremamente complicato per le aziende prepararsi al GDPR. Provando a sintetizzare, occorre che le aziende compiano una revisione completa dei dati che raccolgono e trattano, verificando le basi giuridiche per tali trattamenti e quale è l'impatto di tali trattamenti per gli interessati. Una volta fatto, occorre comunicare tutto ciò all'esterno, precisando anche quali diritti hanno gli individui in relazione a tali trattamenti. Quindi potremo riassumere in responsabilità e trasparenza i principi generali del GDPR. 

- verifica della preparazione del personale ed eventuale aggiornamento sulle nuove regole;
- verifica dei dati trattati, con identificazione del tipo di dati e categorizzazione in modo da distinguerli tra loro, verifica della finalità e della base giuridica del trattamento e eventuale redazione del registro dei trattamenti
- aggiornamento dell'informativa privacy, informando correttamente (e in maniera comprensibile) gli interessati della base giuridica del trattamento dei dati e dei loro diritti (rettifica, cancellazione, oblio); 
- verifica della procedura per consentire agli interessati di richiedere l'attuazione dei loro diritti
- verifica delle modalità di ottenimento del consenso e di una procedura per verificare l'età degli interessati
- eventuale valutazione d'impatto del trattamento dei dati
- instaurazione di una procedura per eventuali violazioni dei dati
- eventuale designazione di un Data Protection Officer
- stabilire correttamente l'autorità di vigilanza alla quale si è soggetti.

Come possiamo Aiutarti per essere in regola:

Definizione del contesto operativo

  • Analisi dei trattamenti dei dati personali
  • Analisi delle informative e delle richieste di consenso
  • Verifica della necessità di designazione di un DPO
  • Valutare le certificazioni già in possesso e adeguarle al GDPR
  • Definire quali sono le misure di sicurezza coerenti con l’organizzazione valutando ogni singolo aspetto della sicurezza dei dati

 

Realizzazione della conformità

  • Redazione delle politiche di protezione dei dati
  • Implementazione delle misure tecniche necessarie alla protezione dei dati personali
  • Redazione della documentazione comprovante la necessità o meno di nomina del DPO
  • Redazione delle nuove informative
  • Redazione del registro dei trattamenti
  • Identificare cosa si deve necessariamente fare per adeguarsi alla normativa nei termini stabiliti con il supporto legale necessario
  • Analizzare i data breach, predisporre l’incident response team e creare il processo di notifica in conformità a quanto richiesto
  • Sensibilizzare il personale nei confronti delle tematiche di privacy e della gestione corretta delle informazioni

 

Mantenimento della conformità

  • DPIA per ogni nuovo progetto che implichi il trattamento dei dati personali
  • Redazione delle informative per i nuovi progetti che implicano il trattamento die dati personali
  • Esecuzione di audit sullo stato della conformità
  • Adeguamento delle misure tecniche e organizzative a seguito dell’audit
  • Mantenere il controllo dell'applicazione della normativa nel tuo business
  • Trasformare un costo CERTO in una opportunità aziendale

 

Vuoi una visita di un Consulente presso la tua sede per fare il punto della situazione e scegliere il percorso migliore ?

Prenota un appuntamento ORA !

RICHIESTA INFORMAZIONI

Compila tutti di dati richiesti e inviali, ti contatteremo al più presto. Grazie !

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 

 

LINGUA

Scarica l'APP

Scarica la nostra APP sui stor Apple e Google

Cerca Euro One Sistemi

itunes app store logo piccola Google Play logo 300x746 transparent

QR CODE

Inquadra con il tuo cellulare utilizzando un lettore di codici QR il nostro QR-Code.

Verrai automaticamente reindirizzato nello store opportuno, potrai scaricare la App Gratuitamente.

Scansiona da smartphone

Euro One Sistemi s.r.l.
Via Iseo 12 - Erbusco (BS)
Tel. 030 65.85.648* r.a.
info@euroonesistemi.com

Sito Sicuro

Iscriviti per le News

I cookie rendono più facile per noi fornirti i nostri servizi. Con l'utilizzo dei nostri servizi ci autorizzi a utilizzare i cookie.
Ok Rifiuta
DMC Firewall is a Joomla Security extension!