GDPR & PRIVACY
Riferimenti:
Destinatari: Imprese, Professionisti, Partite IVA, Enti no Profit
Protezione dei Dati Personali
Consulenza specialistica (sintesi):
La nostra Consulenza al Vostro Servizio
GDPR & CONSULENZA PRIVACY PER LE AZIENDE
Studio Foscoli Consulenza
Il GDPR in Pillole:
Con la piena applicazione del Regolamento Europeo in materia di Protezione dei Dati Personali, Regolamento n. 2016/679, GDPR, le Imprese, i Professionisti e i Soggetti Pubblici si sono trovati ad affrontare diverse nuove problematiche inerenti la protezione dei dati personali trattati nello svolgimento della propria attività.
In precedenza, la materia era regolata unicamente dalla normativa nazionale in tema di Privacy, che contemplava già misure e accorgimenti da adottare per garantire la Privacy dei soggetti interessati.
Lo sviluppo tecnologico degli ultimi anni ha reso possibile la nascita di nuovi soggetti economici capaci di acquisire e trattare un enorme massa di dati personali alla cui tutela il Legislatore ha inteso concentrare l’attenzione per evitarne il più possibile l’acquisizione e il loro uso impropri.
Nel ricordare che il GDPR è diretto alla tutela dei dati dei soggetti privati consumatori, rimanendo pressoché invariata la previgente legislazione nazionale per la tutela dei dati riferibili agli altri soggetti, quali gli operatori economici e le partite IVA in generale, è fuori di dubbio che l’impatto complessivo delle norme di tutela, sulle imprese e i professionisti, sia di assoluta rilevanza, arrivando a coinvolgere la struttura aziendale nel suo complesso.
La sempre più marcata competizione che i mercati globalizzati impongono, rende sempre più necessaria l’approfondita conoscenza dei propri Clienti, acquisiti e/o potenziali, da parte delle Aziende, per essere in grado di rispondere per prime alle loro esigenze e ai loro bisogni, attraverso l’acquisizione del maggior numero dei dati utili alla programmazione commerciale e produttiva.
L’acquisizione dei dati personali deve però essere operata attraverso mezzi leciti e gli stessi devono essere utilizzati per scopi altrettanto corretti e solo dopo aver ricevuto il consenso informato dell’interessato.
Inoltre, l’Azienda deve garantire la corretta conservazione, limitata nel tempo, dei dati acquisiti, adottando le misure più opportune per garantirne l’integrità e l’inaccessibilità da parte di soggetti non autorizzati, la loro portabilità e il loro recupero nel caso di eventi accidentalmente o intenzionalmente causati.
Il prossimo avvento della tecnologia 5G e dell’Industria 4.0, che promette di trasmettere, acquisire e trattare una quantità elevatissima di dati, ha reso e rende l’argomento ancora più critico e rilevante.
E’ quindi prioritario, oltre che richiesto dalla legge, che le Imprese, i Professionisti, gli Enti no-Profit e gli Operatori economici che si trovino a trattare dati personali di soggetti terzi, si dotino di tutti gli strumenti tecnici, organizzativi, formativi e documentali, atti a garantire la protezione dei dati, nonché provvedano alla nomina delle figure professionali, interne e/o esterne all’Azienda, che le norme prevedono a tale fine.
Lo Studio Foscoli Consulenza è in grado di assisterVi , secondo le Vostre esigenze, in tutti o in alcuni degli aspetti dell’iter di Protezione dei Dati Personali GDPR per la Vostra Attività, operando in stretto contatto e in collaborazione con la Dirigenza, il Titolare e gli Organi direttivi
GDPR & CONSULENZA PRIVACY PER LE AZIENDE - Studio Foscoli Consulenza
In sintesi alcuni punti chiave del G.D.P.R.
Approccio basato sul rischio e misure di accountability di titolari e responsabili
Il regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’ adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (si vedano artt. 23-25, in particolare, e l’intero Capo IV del regolamento).
Data protection by default and by design (art. 25), ovvero, necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire prima di procedere al trattamento dei dati vero e proprio.
Registro dei Trattamenti
Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30. Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali.
Misure di sicurezza.
Possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate
Le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell’art. 32 è una lista aperta e non esaustiva (“tra le altre, se del caso”). Per lo stesso motivo, non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da art. 32 del regolamento.
Titolare, Responsabile, incaricato del trattamento.
L’Art.26 disciplina la con-titolarità del trattamento e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati.
Fissa dettagliatamente le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti”
Il regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE e, quindi, al Codice italiano. Pur non prevedendo espressamente la figura dell’ “incaricato” del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”
Responsabile della protezione dei dati
La designazione di un “responsabile della protezione dati” è finalizzata a facilitare l’attuazione del regolamento da parte del titolare/responsabile.
La sua designazione è obbligatoria in alcuni casi (si veda art. 37), e il regolamento tratteggia le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali: si vedano art. 38 e 39)
GDPR & CONSULENZA PRIVACY PER LE AZIENDE