Il Regolamento

Il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679) è un Regolamento con il quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali all'interno dei confini dell'Unione europea (UE). Il testo, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, inizierà ad avere efficacia il 25 maggio 2018.

Il testo affronta anche il tema dell'esportazione di dati personali al di fuori dell'UE e obbliga tutti i Titolari del trattamento dei dati (anche con sede legale fuori dall'Unione Europea) che trattano dati di residenti nell'unione europea ad osservare ed adempiere agli obblighi previsti. Gli obiettivi principali della Commissione europea nel GDPR sono quelli di restituire ai cittadini il controllo dei propri dati personali e di semplificare il contesto normativo che riguarda gli affari internazionali unificando e rendendo omogenea la normativa privacy dentro l'UE. Dal 25 maggio 2018, il GDPR andrà a sostituire la direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/EC) istituita nel 1995, abrogherà le norme del Codice per la protezione dei dati personali (dlgs.n. 196/2003) che risulteranno con esso incompatibili. Ciò potrà generare confusione per alcuni ma si attende una normativa italiana "di raccordo" che metta ordine e inserisca le norme del Codice privacy non incompatibili all'interno dell'impianto normativo del Regolamento. Con Direttiva UE 2016/680, in aggiunta a questo nuovo regolamento sarà applicata una disciplina speciale e in parte derogatrice per i trattamenti dei dati da parte dell'Autorità Giudiziaria e di tutte le forze di polizia; in ragione della caratteristica dell'istituto della direttiva europea tali trattamenti dei dati (Autorità Giudiziaria e forze di polizia) continueranno ad essere differenti da Stato a Stato ed oggetto di una legislazione separata nazionale.

Il regolamento è stato adottato il 27 aprile 2016. Verrà applicato a partire dal 25 maggio 2018 dopo un periodo di transizione di due anni e, a differenza di una Direttiva, non richiede alcuna forma di legislazione applicativa da parte degli stati membri.

 
home_translator_icon_offer_1

A chi si rivolge

Il regolamento si applica ai dati dei residenti nell'Unione Europea. Inoltre, a differenza dell'attuale direttiva, il regolamento si applica anche a società, aziende, imprese ed enti con sede legale fuori dall'UE che trattano dati personali di residenti nell'Unione Europea. Ciò anche a prescindere dal luogo o dai luoghi ove sono collocati i server e le banche dati. Il regolamento non riguarda la gestione di dati personali per attività di sicurezza nazionale o di ordine pubblico ("le autorità competenti per gli scopi di prevenzione, indagine, individuazione e persecuzione di reati penali o esecuzione di provvedimenti penali"). Secondo la Commissione Europea "i dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque cosa: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer.
È necessario che le aziende rivedano fin da subito i propri processi interni, ponendo la privacy degli utenti come elemento primario a cui garantire priorità e precedenza. È altresì necessario che le aziende potenzino la comunicazione aziendale interna attraverso programmi di formazione specifica affinché chiunque si trovi in una posizione che implica l’accesso ai dati personali degli utenti sappia correttamente entro quali limiti poter svolgere la propria professione.
Con il GDPR viene istituita all’interno dell’azienda la figura del Data Protection Officer (DPO) con il compito di vigilare sui processi interni alla struttura e di fungere da consulente: tuttora i controllers (i controllori delle attività di monitoraggio ed elaborazione dati) sono tenuti a notificare le loro attività a DPA (Data Protection Advisor) locali che, ad esempio all’interno di multinazionali, possono rivelarsi un vero e proprio incubo burocratico, poiché ogni stato membro ha requisiti di notifica differenti. Con l’introduzione della figura del DPO, nominato sulla base di qualità professionali, esperto in materia di diritto e di pratiche di protezione dei dati e dotato delle risorse idonee, verrà semplificato il controllo dei processi interni di gestioni dei dati.

 
home_translator_icon_offer_2

Il Data Protection Officer

Titolare del trattamento che potrà nominare un Data Protection Officer (DPO), ovvero una figura specialistica e altamente qualificata che supporti l’applicazione degli obblighi della nuova normativa, e funga da punto di contatto con le Autorità di controllo e gli interessati. La designazione del DPO è obbligatoria solo in alcuni casi (trattamenti effettuati su larga scala, posti in essere da un’Autorità pubblica/organismo pubblico, o che ricomprendono categorie particolari di dati personali).

 
home_translator_icon_offer_3

Responsabilità

Il principio di responsabilità legato al trattamento dei dati personali resta ancorato (come nel Codice per la protezione dei dati personali) ad un concetto di responsabilità per esercizio di attività pericolosa con una valutazione ex ante in concreto ed una sostanziale inversione dell'onere della prova. Per non rispondere del danno commesso derivante dal trattamento dei dati personali occorre sostanzialmente provare di aver fatto tutto il possibile per evitarlo. Il Regolamento aggancia e sviluppa questo tipo di responsabilità verso il concetto di Accountability (art. 5 co 2). Occorre osservare i principi applicabili al trattamento dei dati personali di cui all'articolo 5 adempiendo alle relative obbligazioni ed essere in grado di comprovarlo.
II nuovo regolamento sarà causa di severe sanzione per le aziende che non lo rispetteranno, con multe fino al 4% del fatturato globale annuo o a 20 milioni di euro, a seconda di quale sia la cifra maggiore tra le due. Ma le conseguenze non saranno solo economiche: il mancato rispetto delle nuove norme avrà anche ripercussioni sulla reputazione e sull’immagine della compagnia, che non verrà considerata come attenta alla privacy degli utenti e ai loro dati sensibili.

 
home_translator_icon_offer_4

Quali azioni intraprendere

In ogni caso, a prescindere dalla scelta che l’azienda opererà, da un punto di vista generale, sarà opportuno procedere con un modello di progetto di adeguamento al GDPR che consenta di:
assicurare un’applicazione coerente e omogenea delle norme a protezione del trattamento dei dati personali. In tal senso, è necessario svolgere una identificazione, comprensione e classificazione dei requisiti normativi.
valutare le implicazioni che le nuove disposizioni determinano sui processi/sistemi già esistenti.
stabilire quali sono le nuove disposizioni che presentano un maggiore impatto dal punto di vista delle azioni che le stesse devono intraprendere per adeguarsi al GDPR.
Effettuate tutte le opportune valutazioni preliminari e agire concretamente per modificare i processi e le attività dell’azienda e portarli a conformità del GDPR, non dimenticandosi di adempiere comunque ai provvedimenti del Garante Privacy che resteranno in vigore anche dopo il 25 maggio 2018.
Il primo adempimento che è opportuno porre in essere è senza dubbio è l’adozione del Registro dei trattamenti di dati personali. È possibile definirlo come un “documento” ma solo se lo si intende nel senso ampio del termine, come mezzo/strumento che provi l’esistenza di qualcosa. Il Registro dei trattamenti ha dei contenuti obbligatori previsti specificamente dal GDPR ma ciò non toglie che possa che comprendere anche altre informazioni non obbligatorie, per garantire il perfetto allineamento con i principali «oggetti» aziendali (mappa dei processi, organigramma aziendale, portafoglio fornitori, mappa degli applicativi).
L’adeguamento al GDPR può essere approcciato in diversi modi. Sta all’azienda scegliere se adeguarsi in senso stretto o cavalcare l’opportunità per creare valore per l’organizzazione nel suo complesso. Non può però sfuggire che il dato personale di clienti, dipendenti e soggetti diversamente coinvolti nel ciclo produttivo e commerciale dell’azienda sia un asset fondamentale per la trasformazione digitale del business e le opportunità che ne possono derivare.

 
locked

GDPR - in "breve"

Valutazione della compliance: raccolta di tutte le informazioni sull’organizzazione aziendale, analisi e valutazione della documentazione in uso.
Creazione del registro dei trattamenti: documento volto a tenere traccia dei trattamenti effettuati da parte del titolare e degli eventuali responsabili, e contenente, tra gli altri, le finalità del trattamento, una descrizione delle categorie di interessati e dei dati personali, i destinatari, gli eventuali trasferimenti verso Paesi terzi e una descrizione generale delle misure di sicurezza.
Stesura/Modifica della documentazione affinché risulti completa ed aggiornata secondo le prescrizioni della nuova normativa.
Individuazione dei ruoli e delle responsabilità dei soggetti che effettuano il trattamento.
Definizione delle politiche di sicurezza e valutazione dei rischi: valutazione e attuazione di tutte le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al RGPD. Questa fase è espressione, soprattutto, del principio di responsabilizzazione del titolare.
Processo di Data Breach: al fine di assicurarsi di aver adottato tutte le procedure idonee a scoprire eventuali violazioni, generare adeguata reportistica e indagarne le cause nonché gli effetti della violazione subita.
Valutazione d’impatto sulla protezione dei dati personali: al fine di assicurare trasparenza nelle operazioni di trattamento dei dati personali e adeguata protezione agli stessi, implica che il titolare effettui precise e adeguate valutazioni d’impatto privacy. Attraverso tale istituto è possibile, quindi, valutare gli aspetti relativi alla protezione dei dati, prima che questi vengano trattati.
Implementazione dei processi per l’esercizio dei diritti dell’interessato.
Individuazione e nomina di un Data Protection Officer (DPO): figura la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.