Dal 25 maggio 2018, in tutti gli Stati Europei, è entrato in vigore il Regolamento n. 679/2016 chiamato anche GDPR (General Data Protection Regulation) e successive modifiche ed integrazioni, finalizzato alla protezione dei dati personali delle persone fisiche con riguardo al loro trattamento e circolazione.
COSA PREVEDE IL GDPR PRIVACY E SUCCESSIVE MODIFICHE ED INTEGRAZIONI?
SOGGETTI INTERESSATI:
La nuova normativa privacy interessa tutte le aziende, gli enti pubblici e i soggetti che si trovino a gestire, conservare, trasferire o trattare dati personali (comuni o sensibili) di soggetti con cui entrino in contatto durante la propria attività lavorativa (clienti/pazienti, fornitori, collaboratori, dipendenti ecc…); il GDPR si applica non solo alle organizzazioni situate all’interno dell’Unione Europea, ma interessa anche soggetti (pubblici o privati) con sede al di fuori dell’Unione Europea, ma che trattano e conservano i dati personali degli interessati residenti nell’UE.
ADEMPIMENTI OBBLIGATORI PER L’ADEGUAMENTO:
Attualmente ciascun Titolare e Responsabile del trattamento deve svolgere i seguenti adempimenti:
- valutazione del rischio e analisi organizzativa caso per caso (DPIA);
- adozione di misure di sicurezza idonee ed organizzazione di procedure operative;
- redazione di informative ed acquisizione del consenso in caso di trattamento di dati personalissimi ed al di fuori dei casi in cui esiste già una base giuridica legittimante il trattamento dei dati personali;
- conferimento degli incarichi (Persona autorizzata al trattamento, responsabili del trattamento interni ed esterni, eventuale DPO (in casi particolari previsti dalla normativa);
- istituzione e aggiornamento del Registro del Trattamento dei dati;
- periodica formazione degli incaricati;
- notifica delle violazioni privacy – c.d. “data breach” – al Garante della Privacy.
CHI E’ IL DPO (Data Protection Officer) ED IN QUALI CASI E’ OBBLIGATORIA LA NOMINA:
Il Data Protection Officer (DPO) è una figura introdotta dal GDPR.
Le sue responsabilità principali sono legate ad osservazione e valutazione della gestione del trattamento e protezione dei dati personali in azienda nel rispetto delle normative di privacy europee e nazionali.
ALCUNI DEI SUOI COMPITI:
- Informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, sugli obblighi previsti dalle norme in materia;
- Verificare l’attuazione e l’applicazione delle norme;
- Se richiesto, fornire pareri ed assistere il titolare in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
- Cooperare con le autorità di controllo;
- Fungere da punto di contatto, non solo per l’autorità di controllo ma anche per gli interessati al trattamento, in merito a qualunque problematica connessa ai loro dati o all’esercizio dei loro diritti;
- Considerare debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
La nomina del DPO è obbligatoria, sia per il titolare che per il responsabile del trattamento, ogni qualvolta si ricada in uno dei seguenti casi:
- Trattamento dati effettuato da Pubbliche Amministrazioni (es. Comuni, Ospedali, Scuole ecc.);
- Soggetti che hanno come core business (attività principale) il monitoraggio regolare e sistematico su larga scala delle persone;
- Soggetti che hanno come core business (attività principale) il trattamento su larga scala di dati particolari (es. stato di salute, dati sindacali, biometrici ecc.) o dati giudiziari.
CHI SONO I SOGGETTI PRIVATI TENUTI A DESIGNARE UN DPO:
Innanzitutto, i soggetti che svolgono come attività principale su larga scala il monitoraggio di dati personali o il trattamento di dati particolari o giudiziari, si pensi ad esempio a:
- Istituti di credito
- Imprese assicurative
- Sistemi di informazione creditizia
- Società finanziarie, di informazione commerciale, di revisione contabile, di recupero crediti
- Istituti di vigilanza
- Partiti e movimenti politici
- Caf e patronati
- Società operanti nel settore delle utilities come telecomunicazione, energia elettrica e gas
- Imprese di somministrazione lavoro e ricerca di personale
- Ospedali privati
- Terme
- Laboratori di analisi mediche e riabilitazione
- Società di call center, di servizi informatici e televisivi a pagamento
- Hosting di posta e società di informatica che monitorano misure di sicurezza informatica.
SANZIONI IN CASO DI OMESSO ADEGUAMENTO DEL TIROLARE DEL TRATTAMENTO AL NUOVO REGOLAMENTO PRIVACY:
Il GDPR prevede le seguenti sanzioni amministrative pecuniarie:
- 10 milioni di euro o 2 % del fatturato mondiale annuo (dell’anno precedente) per le imprese che, ad esempio, non nominano il DPO nei casi in cui sia reso obbligatorio dalla normativa, non comunicano un data breach all’Autorità garante, violano le condizioni sul consenso dei minori oppure trattano in maniera illecita i dati personali degli utenti;
- 20 milioni di euro o 4 per cento del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri
Paesi o di inosservanza di un ordine imposto dal Garante.
In ogni caso, le conseguenze per imprese e professionisti che commettono violazioni sono diverse:
- sanzioni penali;
- sanzioni amministrative;
- risarcimento del danno in favore dell’interessato;
- divieto di trattamento dei dati personali fino a che non sia posto rimedio alla situazione di non conformità.
Il Garante privacy dovrà provvedere affinché le sanzioni amministrative pecuniarie inflitte ai sensi del GDPR siano in ogni singolo caso effettive, proporzionate e dissuasive. Infine, i singoli Stati della UE potranno introdurre norme relative ad altre sanzioni per le violazioni del GDPR, in particolare per le violazioni non soggette alle sanzioni amministrative pecuniarie sopra indicate; anche tali sanzioni dovranno essere effettive, proporzionate e dissuasive.
COSA FACCIAMO?:
AFES – CONSORZIO ALTA FORMAZIONE E SICUREZZA, tramite propri professionisti esperti, accompagna il cliente durante tutta la procedura di adeguamento alla nuova normativa privacy.
In particolare, il lavoro di consulenza svolto dai propri incaricati consiste nei seguenti adempimenti:
- Primo contatto finalizzato all’analisi preventiva delle attività svolte dall’Azienda rilevanti in materia di Privacy;
- Valutazione dei rischi in materia di privacy nell’ambito delle attività svolte;
- Istituzione ed aggiornamento del Registro del Trattamento;
- Redazione delle informative ed istruzioni operative per gli incaricati;
- Nomina dei soggetti incaricati;
- Nomina dell’eventuale DPO;
- Periodica formazione degli operatori;
- Consulenza per l’adozione di misure di sicurezza idonee per evitare data breach.
Oltre al servizio di adeguamento, il CONSORZIO AFES fornisce supporto per ogni questione che coinvolge il trattamento di dati personali, ad esempio:
- Supporto in caso di data breach;
- Supporto in caso di richieste provenienti dai titolari dei dati trattati;
- Analisi delle nomine ricevute come Responsabile del Trattamento/DPO;
- Consulenza per l’adeguamento dei siti web alle disposizioni in materia di privacy;
- Consulenza in materia di videosorveglianza sui luoghi di lavoro e supporto per la relativa trasmissione di comunicazioni al Garante della privacy ed all’Ispettorato del lavoro;
- Monitoraggio della normativa in materia di privacy ed aggiornamento annuale della documentazione fornita.
RISULTATI OTTENUTI:
- Risparmio derivante dal mancato sanzionamento per inadempienza al GDPR.
- Maggiore agilità e sicurezza nella gestione quotidiana degli adempimenti previsti dal GDPR.
- Adeguata formazione delle risorse impiegate nella gestione dei dati con conseguente riduzione dei tempi di risposta a questioni legate alla privacy.
