Center 2000 si è organizzato per supportare i propri clienti in tutte le situazioni che richiedono un approccio professionale alle questioni inerenti la privacy.
L'art. 2 del GDPR 679/2016 prevede che il Regolamento si applichi al trattamento dei dati personali (cioè del nome, codice fiscale, email, foto, indirizzo, partita iva, dati bancari, ecc.), in formato cartaceo e/o digitale, contenuti in archivio o destinati a esserci in futuro.
È dunque tenuto al rispetto della nuova normativa Privacy qualunque soggetto, sia persona fisica (professionista, medico, fisioterapista, dentista, ecc.), sia persona giuridica (società di persone o di capitali) che tratti dati personali di terzi per fini non personali e domestici.
Ciò significa che sono tenuti al trattamento dei dati personali in modo corretto e aderente al GDPR tutti coloro che svolgono un'attività economica, di lucro e non (comprese le associazioni).
Il GDPR si applica anche a società, aziende, imprese ed enti con sede legale fuori dall'UE, che trattano però dati personali di residenti nell'Unione Europea.
Quali azioni intraprendere?
È fondamentale effettuare una ricognizione all'interno della propria organizzazione per valutare lo stato dell'arte e valutare le azioni da porre in essere per adeguarsi al nuovo GDPR.
Concretamente, cosa fare?
È necessario verificare chi e come effettua la raccolta dei dati, chi può consultarli e/ o modificarli, come sono conservati, con quali strumenti e con quale diffusione è stata fornita l'informativa ed eventualmente acquisito il consenso al trattamento.
Importante anche analizzare l'organigramma funzionale dei ruoli e degli incarichi.
La mappatura va quindi analizzata alla luce del GDPR e si deve procedere alla redazione di una procedura gestionale che rispetti i nuovi limiti e i nuovi doveri introdotti dal Regolamento.
Questa operazione costituisce la novità essenziale. Solo attraverso l'attività descritta e la successiva progettazione del trattamento sarà possibile dimostrare di aver attuato la sicurezza del trattamento al meglio delle proprie possibilità.
La nuova normativa richiede una serie di attività che, in estrema sintesi, possono essere così riassunte:
- Formazione iniziale: organizzare delle brevi sessioni formative per i ruoli apicali della azienda. E' necessario che le persone chiave delle struttura organizzativa del titolare siano consapevoli dell'impatto che avrà il Regolamento e delle attività da svolgere.
- Valutare se l'azienda deve nominare, o ritiene opportuno nominare, il Responsabile della protezione dati. In caso affermativo è necessario Individuare la persona (interna o esterna) che dovrà svolgere tali funzioni (c.d. DPO)
- Fare un nuovo censimento di tutti i trattamenti: documentare i dati personali trattati, individuare la base giuridica, verificare la durata della conservazione dei dati e a chi vengo comunicati
- Analizzare i rischi che gravano sui trattamenti e predisporre le misure di sicurezza «adeguate»
- Per i trattamenti che presentano un rischio elevato per i diritti e libertà delle persone fisiche effettuare la valutazione di impatto (PIA)
- Redigere il registro delle attività di trattamento
- Aggiornare tutte le informative
- Implementare il processo per l'esercizio dei diritti dell'interessato e per la gestione del data breach
- Aggiornare le designazioni dei responsabili esterni del trattamento
- Formazione finale di tutto il personale
Principi cardine del regolamento
La nuova norma non parla più di misure minime di sicurezza. Sopprime infatti l'obbligo di adozione di misure minime di sicurezza (firewall, backup, ecc.) ma impone la valutazione del rischio rispetto al quale il titolare deve attuare dei comportamenti tutelanti per il trattamento dei dati.
Principio di accountability – art. 24: responsabilizzazione del titolare del trattamento
Principio di privacy by design – art. 25: responsabilità progettuale
Quindi dovrà essere comprovata l'organizzazione per garantire la tutela del dato trattato
Principio del diritto all'oblio: possibilità di vedere cancellati i propri dati dal titolare del trattamento compresi i rimandi sui motori di ricerca.
Secondo principio (default) – art. 25: obbligo di limitare, in modo predefinito, il trattamento dei soli dati necessari per eseguire il singolo lavoro
Informativa e consenso
L'informativa deve essere trasparente, comprensibile e completa. Sarà quindi necessario riscrivere le “vecchie” informative alla luce della nuova normativa.
Il consenso deve essere richiesto per specifiche finalità e non in modo generico.