GDPR, General data protection regulation compliance. Server room background.

GDPR Regolamento Generale Protezione Dati

Tu sei qui:

“La Privacy e la protezione dei dati personali non sono argomenti da affrontare con il fai da te!”

Allo scopo di permettere alle aziende di adeguarsi in modo rapido e semplice agli adempimenti, Blend IT ha sviluppato una metodologia di Consulenza Privacy consolidata per aiutarle a progettare e implementare un idoneo Sistema di Gestione Privacy.

Per ottenere tale obiettivo è richiesto un approccio di tipo multidisciplinare, per questo l’attività viene svolta da un team di consulenti legali, consulenti di organizzazione ed esperti di Information Technology & Security.

Un’attenta analisi, mirata all’individuazione dei processi che comportano il trattamento dei dati personali (riferiti a clienti, utenti, fornitori e dipendenti, ecc.), offre una visione globale di quanto è stato fatto e quanto ancora c’è da fare per adeguarsi alle normative.

Una consulenza adeguata in materia di privacy e trattamento dei dati personali dovrebbe partire coi presupposti descritti.

Blend IT è al tuo servizio per occuparsi dell’intero processo, dall’analisi della situazione aziendale in merito al trattamento dei dati, fino alla distribuzione dei compiti all’interno dell’impresa stessa.

Il Regolamento Generale sulla Protezione dei Dati (GDPR, General Data Protection RegulationRegolamento UE 2016/679) è un regolamento con il quale la Commissione Europea intende rafforzare e rendere più omogenea la protezione dei dati personali dei cittadini dell’Unione Europea, sia all’interno che all’esterno dei confini dell’Unione europea (UE).

Il testo pubblicato sulla Gazzetta Ufficiale Europea il 4/5/16 ed entrato in vigore il 25 dello stesso mese, inizierà ad avere efficacia il 25 maggio 2018.

Trattandosi di un regolamento, non necessita di recepimento da parte degli Stati dell’Unione e verrà attuato allo stesso modo in tutti gli Stati membri senza margini di libertà nell’adattamento. Il suo scopo è, infatti, la definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all’interno dell’Unione Europea.

Il GDPR rovescia completamente la prospettiva della disciplina di riferimento, istituendo un quadro normativo tutto incentrato sui doveri e la responsabilizzazione del Titolare del trattamento (principio di “accountability”). La nuova disciplina impone a tale soggetto di garantire il rispetto dei principi in essa contenuti, ma anche di essere in grado di comprovarlo, adottando una serie di strumenti che lo stesso GDPR indica.

Detta normativa introduce nuove figure ed obblighi, rispetto alla precedente direttiva 95/46/CE quali:

D.P.O. (Data Protection Officer) Responsabile Protezione dei Dati

Tale figura, viene prevista solo in determinati casi:

  • Se il trattamento è svolto da una pubblica amministrazione;
  • Se i dati trattati richiedono un monitoraggio regolare e sistematico o su larga scala;
  • Se vengono trattati dati classificati particolari (relativi alla salute della persona – giudiziari).

Il D.P.O. viene nominato dal titolare del trattamento e ha una funzione di consulenza, che supporta il titolare o il responsabile, tiene i contatti con l’autorità (Garante), può disporre l’attuazione di misure di sicurezza qualora si rendano indispensabili, può essere interessato anche da tutte le altre figure che operano all’interno dell’azienda, in materia si sicurezza nel trattamento dei dati.
Per ogni decisione in materia di trattamento, detta figura deve essere consultata da parte del titolare.

D.P.I.A. (Data Protection Impact Assessement) Valutazione Impatto Protezione Dati

Tale documento risulta obbligatorio quando:

  • È presente una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • Viene effettuato un trattamento, su larga scala, di categorie particolari di dati personali (es.sanitari), o di dati giudiziari;

Il D.P.I.A. deve essere redatto dal titolare del trattamento unitamente al responsabile, in collaborazione con il responsabile della protezione dati (D.P.O.)

Registro delle attività di trattamento

Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità.

Tale registro è obbligatorio nei seguenti casi:

  • imprese od organizzazione con almeno 250 dipendenti;
  • che il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato;
  • che il trattamento non sia occasionale;
  • che il trattamento includa categorie di dati particolari (sanitari o giudiziari).

Diritto all’oblio

Si configura come un diritto “rafforzato” a ottenere la cancellazione dei propri dati. Questo diritto comporta l’obbligo, per i titolari che hanno reso pubblici i dati personali di un interessato, di informare della richiesta di cancellazione loro pervenuta anche gli altri titolari che trattano i dati cancellati, che comprendono anche “qualsiasi link, copia e riproduzione” degli stessi (art. 17 GDPR, comma 2).

Ha inoltre un campo di applicazione esteso perché l’interessato può esercitarlo anche dopo la revoca del consenso al trattamento; tuttavia il suo esercizio può essere limitato laddove prevalga l’esercizio del diritto alla libertà di espressione e informazione o nel caso il trattamento sia effettuato per adempiere un obbligo legale.

Diritto alla portabilità dei dati

E’ il diritto degli interessati di ottenere e riutilizzare i propri dati per scopi personali e attraverso servizi diversi, facilitandone anche la circolazione, la copia o il trasferimento da un ambiente informatico all’altro senza impedimenti. Questo diritto si declina in due diverse modalità d’esercizio (art. 20 GDPR, comma 1), che comportano la possibilità di:

  1. ricevere dati personali “in un formato strutturato, di uso comune e leggibile meccanicamente” trattati da un titolare, per mantenerli nella propria disponibilità in vista di un successivo utilizzo personale;
  2. trasmettere i propri dati personali da un titolare a un altro “senza impedimenti”.
  • Competenze sul nuovo Regolamento Codice Privacy e delle sue implicazioni legislative, organizzative, tecniche ed informatiche.
  • Gap analisys per verificare il livello di conformità alla normativa e le misure da adottare per raggiungerla.
  • Stesura organigramma Privacy.
  • Supporto continuo per essere sempre in linea con le normative vigenti.
  • Incarichi e Nomine.
  • Procedure e Istruzioni.
  • Documento sulla sicurezza dei dati.