Dal prossimo 25 maggio il vecchio Codice della Privacy verrà sostituito dal nuovo Regolamento UE 2016/679, denominato General Data Protection Regulation. Il GDPR apre le porte a nuove responsabilità per il trattamento dei dati personali, introducendo il concetto di diritto all’oblio, di portabilità dei dati, di’accountability, di data breach. LE PAROLE CHIAVE DELLA NUOVA PRIVACY
“PRIVACY BY DESIGN E BY DEFAULT” : Il titolare, secondo il Regolamento, deve garantire la privacy dei soggetti interessati come impostazione di base dell’attività aziendale e ciò deve avvenire attraverso un progetto prestabilito (by design).
“ACCOUNTABILITY” : E’ il principio di responsabilizzazione del titolare riguardo a misure, tecniche organizzative per conformarsi ai principi del Regolamento.
“DATA BREACH” : E’ la violazione dei dati personali per esempio a causa di un attacco informatico.
“PORTABILITÀ DEI DATI” : Il soggetto interessato può chiedere il trasferimento dei suoi dati da un titolare del trattamento ad un altro, ossia ottenere copia dei suoi dati personali in un formato interoperabile.
“DIRITTO ALL’OBLIO” : Il soggetto interessato può richiedere che i suoi dati personali vengano cancellati se tali dati non sono più necessari per gli scopi per cui sono stati raccolti, se sono stati trattati illecitamente o se l’interessato si oppone o revoca il trattamento.
I soggetti che dovranno trattare dati personali, ossia informazioni riguardanti una persona fisica identificata o identificabile e che dovranno occuparsi della raccolta, conservazione, modifica, consultazione ecc.. di tali dati dovranno, secondo “la nuova Privacy”, rivedere il proprio sistema di tutela dei dati, poiché il Regolamento UE 2016/679 sarà immediatamente applicabile. La normativa coinvolgerà tutte le società, professionisti o altre tipologie di enti che si troveranno a dover trattare i sopraindicati dati.
SOGGETTI INCARICATI NEL TRATTAMENTO DEI DATI
TITOLARE DEL TRATTAMENTO DEI DATI PERSONALI : E’ chi effettua le scelte per le modalità di trattamento dei dati personali e degli strumenti da utilizzare, ivi compreso il profilo della sicurezza. E’ il caso ad esempio del titolare dell’azienda che tratta i dati dei propri clienti.
RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI : E’ colui che concretizzerà le misure necessarie indicate nel Regolamento secondo le istruzioni impartite dal titolare. La figura del responsabile del trattamento dei dati personali è nominata dal titolare stesso. Può accadere che il responsabile nomini sub-responsabili per specifici compiti. Per fare un esempio, il responsabile in un’azienda potrebbe essere il legale rappresentante.
DPO (DATA PROTECTION OFFICER) = RESPONSABILE DELLA PROTEZIONE DEI DATI : E’ colui che ha il compito di verificare la corretta applicazione del Regolamento, la formazione del personale, la sensibilizzazione, la consulenza ecc.. In un’azienda, il responsabile della protezione dei dati potrebbe essere un dipendente incaricato per competenza, esperienza, oppure un professionista esterno. Questo tipo di soggetto è obbligatorio solo in alcune casistiche.
Individuate le figure incaricate, il titolare, il responsabile del trattamento, nonché l’eventuale DPO è consigliabile istituire il Registro dei trattamenti dei dati personali.Seppur sia stata ufficiosamente concessa anche in Italia una ragionevole tolleranza dal Garante, nei primi 6 mesi di applicazione del Regolamento, ovviamente a condizione che si riscontri una volontà e una consapevolezza nell’approcciarsi all’argomento, il Regolamento europeo sulla privacy, entrerà in vigore dal 25.05.2018.
L’iter da seguire per adeguarsi al Regolamento potrebbe seguire i seguenti step:
1° step – Mappatura dei dati da trattare Il primo step è quello del Privacy Assessment; l’analisi dei soggetti addetti al trattamento all’interno della P.A. ossia quell’attività volta ad individuare il Sistema di Governance della Privacy descrittiva delle finalità dei trattamenti. La raccolta delle informazioni sul trattamento dei dati nella propria realtà aziendale (per esempio, le modalità e il luogo fisico o telematico di conservazione dei dati dei clienti).
2° step – Definizione del Modello Organizzativo Privacy Il secondo step vede l’individuazione delle cariche del trattamento dei dati personali all’interno dell’azienda, rispettivamente nell’ordine: il Titolare; il Contitolare; il DPO; i Responsabili, ecc. specificando chi fa e che cosa è chiamato a fare e in che tempi deve fare e ciò in base ai relativi ruoli e livelli di responsabilità assegnati dalla norma, nonché a disegnare i processi di Privacy by design e by default, Privacy Impact Assessment e notifica dei Data Breach.
3° step – Registro dei trattamenti dei dati personali Il terzo step è quello di istituire il Registro dei trattamenti dei dati personali: si tratta di un documento in cui il titolare o il responsabile (o un loro delegato: DPO) devono trascrivere: le categorie dei soggetti interessati al trattamento; i dati trattati, i soggetti destinatari di comunicazione dei dati, i termini per la cancellazione da parte dei soggetti richiedenti; i comunicati aventi come destinatari i Paesi terzi ovvero le specifiche organizzazioni internazionali; i ruoli e responsabilità per i trattamenti e le misure di sicurezza tecniche/organizzative adottate per la protezione dei dati. E’ sempre necessario il Registro dei trattamenti dei dati personali? Non è obbligatorio per le Pmi con meno di 250 dipendenti, ma lo diventa se il trattamento dei dati di queste imprese presenta un rischio per i diritti e le libertà dell’interessato o se il trattamento non è occasionale o coinvolge categorie particolari di dati o dati personali relativi a condanne penali o reati.
4° step – Documentazione Il quarto step prevede di disporre la documentazione aggiornata secondo la nuova normativa da far firmare ai soggetti interessati coinvolti.
5° step – Misure tecniche per la tutela dei dati Il quinto step prevede la definizione delle politiche di sicurezza e la valutazione dei rischi al fine di prevenire il cosiddetto Data breach, ossia la distruzione, perdita, modifica, divulgazione non autorizzata dei dati personali o una violazione del sistema di privacy posto in essere.
>> PRIVACY STEP