GDPR Privacy: da oggi dati personali blindati
Riforma della Privacy da oggi in vigore: il Regolamento Generale sulla Protezione dei Dati UE 2016/679, meglio noto come GDPR, introduce nuove metodologie gestionali per tutti i soggetti economici che effettuano il trattamento di dati personali. Inasprite le sanzioni in caso di inadempienza.
A partire dalla data odierna, 25 maggio 2018, tutti i soggetti economici, società, ditte individuali, professionisti e altri enti commerciali o no profit, pubblici o privati dovranno fare i conti con la nuova normativa in materia di protezione dei dati personali (Privacy) ovvero il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (anche detto GDPR) che, rispetto alla normativa nazionale già in vigore (D.Lgs.196/2003), introduce:
- nuove metodologie gestionali;
- una nuova figura professionale;
- un inasprimento delle sanzioni.
La normativa interessa tutti i casi in cui avviene un "trattamento" di dati personali di terze persone per cui si può certamente affermare che tutti i soggetti economici (salvo rari casi di esonero) siano interessati alla presente normativa.
Si ha, infatti, un "trattamento" di dati personali quando si effettua "qualsiasi operazione o complesso di operazioni, effettuate con o senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati trattati".
Leggi anche >>> Il framework nazionale per la cyber sicurezza delle aziende
I nuovi obblighi
Possiamo brevemente riassumere gli obblighi connessi alla nuova normativa con le seguenti attività:
- Analizzare la tipologia dei dati personali trattati nella propria realtà aziendale o professionale;
- verificare che il trattamento sia fondato sui principi di liceità, correttezza, trasparenza, che i dati raccolti siano esclusivamente quelli strettamente necessari, pertinenti ed adeguati a svolgere le finalità per cui sono stati richiesti e che siano state adottate le misure necessarie per aggiornarli, rettificarli, cancellarli e soprattutto per proteggerli.
- informare per iscritto l'Interessato (titolare dei dati trattati) circa l'identità di chi effettua il trattamento (fornendo relativi dati di contatto), le finalità e la base giuridica del trattamento, sulla obbligatorietà o meno del trattamento, su eventuali destinatari dei dati, il periodo di conservazione, i diritti a lui riconosciuti (accesso, rettifica, cancellazione, ecc.), ecc;
- acquisire il consenso al trattamento dei dati (nei casi in cui non sia previsto l'esonero);
- individuare un Organigramma interno dei soggetti coinvolti nel trattamento, identificando il Titolare del trattamento (colui che determina le modalità di trattamento dei dati personali e degli strumenti da utilizzare), il Responsabile del trattamento (il soggetto a cui è affidata la realizzazione pratica di quanto stabilito dal Titolare), l'Incaricato al trattamento (il collaboratore o dipendente autorizzato dal Titolare al trattamento dei dati), il Responsabile della Protezione dei Dati (figura eventuale che ha il compito di verificare la corretta applicazione del Regolamento, la formazione del personale, la sensibilizzazione, la consulenza, ecc).
- istituire un Registro dei trattamenti (eventuale) in cui refertare periodicamente le attività poste in essere per adempiere alla normativa;
- definire politiche di sicurezza e valutazione dei rischi al fine di prevenire il cosiddetto data breach, ossia la distruzione, perdita, modifica, divulgazione non autorizzata dei dati personali o una violazione del sistema di privacy posto in essere;
- comunicare l'eventuale violazione dei dati personali all'autorità di controllo (Garante) entro 72 ore dal momento in cui se ne viene a conoscenza.
Leggi anche >>> SISTEMI DI VIDEOSORVEGLIANZA NEI CONDOMINI: A COSA FARE ATTENZIONE
Adeguamento e possibili sanzioni
Rispetto alla vigente normativa nazionale (D.Lgs.n.196/2003) il Regolamento UE chiede di adeguare al singolo contesto organizzativo specifiche misure di sicurezza elaborando un piano d'azione apposito attraverso una preventiva, consapevole e responsabile mappatura dei rischi di trattamento dei dati gestiti.
Ciò in quanto, diversamente dal passato, il nuovo modello proposto dal Legislatore Comunitario non è più basato su un disciplinare tecnico delle "misure minime di sicurezza", essendo posta a carico del Titolare della realtà aziendale (o professionale) la responsabilità (c.d. principio di "Accountability") di definire, dopo un'attenta analisi dei rischi, le misure di sicurezza idonee a garantire la Privacy dei dati personali trattati.
Il Regolamento introduce un nuovo sistema sanzionatorio che prevede sanzioni penali ed un aumento delle sanzioni amministrative pecuniarie fino ad un massimo di 20 milioni di euro o, per le imprese, fino al 4% del fatturato totale annuo dell'esercizio precedente, se superiore.
Leggi anche >>> GDPR Privacy: l'Italia si adegua
Hai altro da chiedere?
Se desideri altre informazioni o un chiarimento sull'argomento di questo articolo, clicca su FAI LA TUA DOMANDA per inviare un tuo quesito. Non è richiesta alcuna registrazione. Riceverai la tua risposta, personalizzata, direttamente nella casella di posta.
Luca Domenico Chiacchiari da circa 15 anni è titolare dell'omonimo studio professionale a Pescara in Via Falcone e Borsellino n. 26. Svolge consulenza contabile e tributaria per società, imprenditori e professionisti, consulenza civilistico-fiscale in favore di Enti NO profit, redazione di business plan e controllo dei conti nell'ambito di finanziamenti pubblici regionali e nazionali, revisore contabile nell'ambito dei progetti di Formazione Continua alle PMI, è Delegato del Tribunale per gestione Esecuzioni Immobiliari. Sportivo da sempre, da 15 anni assiste ASD, SSD e CIRCOLI ricreativi e culturali del centro Italia, anche in partenariato con importanti Enti ed organizzazioni nazionali come UISP, CSEN, FILJKAM e FISE.