Il Regolamento UE 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali a quasi due anni dalla sua diretta applicabilità, risalente al 25 maggio 2018, non può dirsi ancora adeguatamente compreso né correttamente introdotto nelle gestioni aziendali e professionali.
Così, se anche è conosciuta la definizione di dato personale, “Il dato personale è qualsiasi informazione relativa ad una persona fisica, identificata o identificabile, anche indirettamente, come, ad esempio, un nome, un numero di telefono, un numero di identificazione personale o i dati relativi all’ubicazione, o una informazione economica.”,
I più non sanno che un trattamento di tali dati personali viola la legge tutte le volte che non è preceduto dalla predisposizione di adeguate misure tecniche e organizzative e che ciò li espone a gravi rischi di responsabilità penali e civili e amministrative.
Infatti, Il mancato rispetto del GDPR comporta sanzioni molto elevate, fino a 20 milioni di euro o il 4% del fatturato mondiale annuo dell’esercizio precedente dell’impresa.
Il questionario gratuito che mettiamo a disposizione vi aiuterà a capire quale è il grado di adeguatezza della vostra azienda rispetto alla normativa.
VALUTAZIONE PRELIMINARE DEL TRATTAMENTO DEI DATI
Il regolamento impone una maggior responsabilizzazione del titolare del trattamento dei dati anche prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto afferma l’art. 25(1) del regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.
In particolare AZIENDE, ENTI E PROFESSIONISTI devono svolgere quanto prima un’analisi completa e dettagliata di adeguatezza del proprio contesto rispetto agli obblighi imposti dalla nuova regolamentazione, ad esempio in relazione a:
• verifica sulle politiche di trattamento dei dati con particolare attenzione ai c.d. dati sensibili;
• fornitura di informative a tutti i soggetti interessati al trattamento;
• raccolta dei relativi consensi al trattamento;
• individuazione di responsabili del trattamento dei dati;
• verifica delle prescrizioni in materia di trasferimento dei dati all’estero all’interno ed all’esterno della UE;
• individuazione degli amministratori di sistema;
• predisposizione delle autorizzazioni, delle istruzioni e della formazione degli incaricati del trattamento (tutti i soggetti che effettuano in tutto o in parte il trattamento dei dati per conto del titolare);
• verifica della presenza di un sistema di videosorveglianza ed analisi della conformità alle disposizioni vigenti in materia;
• adozione delle idonee misure di sicurezza.
ANALISI DEI RISCHI ED EVENTUALE REDAZIONE DEL REGOLAMENTO E VALUTAZIONE D’IMPATTO
Una volta effettuata la verifica preliminare, si potrà procedere:
– all’analisi delle procedure interne e alla loro conformità con la nuova normativa ;
– all’analisi del rischio e alla modifica / formazione di adeguate procedure di gestione e controllo del trattamento nell’ottica del principio di accountability introdotto dal GDPR;
– alla revisione completa e stesura delle procedure e dei documenti richiesti per la compliance al GDPR (es. registro dei trattamenti, DPIA – Data Protection Impact Assessment – nuove informative/consensi, clausole contrattuali, policy e procedure interne, rapporti con fornitori esterni etc.).
In questo percorso – non agevole ed insidioso – le aziende, gli Enti ed i professionisti possono essere accompagnati dal nostro team di esperti in discipline giuridiche e tecnico informatiche in grado di affrontare la nuova normativa secondo un approccio multidisciplinare.
