Privacy: cosa cambia per il trattamento dati personali dal 25 Maggio 2018

Francesca De SantisFrancesca De Santis3 gennaio 20187min3540
privacy-3-1280x667.jpg
Soggetti pubblici e privati dovranno soddisfare nuove esigenze: nomina DPO, istituzione di un registro di trattamento dati e analisi dei rischi.

Il 14 Aprile 2016 è stato approvato definitivamente il Regolamento Europeo in materia di protezione dati (GDPR, General Data Protection Regulation).
La nuova norma abroga integralmente la direttiva Privacy 95/46/CE ed entrerà in vigore il 25 Maggio 2018.

Il regolamento introduce una serie di novità in materia di obblighi, diritti e conseguenti rischi rilevanti per le aziende dal punto di vista economico (sanzioni fino al 4% del fatturato worldwide) e di immagine (possibili conseguenze di un incidente informatico che metta a rischio l’integrità o la riservatezza dei dati).

Riguarda anche te?

Sono tenuti ad adeguarsi agli adempimenti previsti dalla normativa tutti i Soggetti Pubblici e Privati che effettuano il trattamento di dati personali archiviati in forma elettronica e/o cartacea. Tra questi, aziende, avvocati, commercialisti, organismi sanitari, istituzioni scolastiche, comuni e tutti coloro che trattano dati personali, anche mediante l’ausilio di strumenti elettronici.

La risposta, quindi è… Sì, riguarda anche TE!

Si farebbe prima ad indicare chi non è coinvolto: QUASI NESSUNO!

Cosa cambia rispetto al precedente D. Lgs. 196/03?

La maggior parte delle Organizzazioni si trova nella condizione di dover soddisfare nuove esigenze:

  • Nomine di figure professionali specifiche
  • Istituzione di un registro di trattamento dati
  • Analisi dei rischi

In tema di “figure professionali”, il Regolamento cita una nuova funzione, quella del DPO.

Chi è il DPO? Sarà sempre obbligatorio nominarlo? Quanto costerà?

Innanzitutto, tranquillizziamo tutti precisando subito che il legislatore dà, per fortuna, la possibilità di individuare questa figura sia esternamente e sia internamente tra i propri dipendenti.

È importante, comunque, conoscere bene i contenuti e gli ambiti di applicazione del nuovo regolamento.

Il DPO, Data Protection Officer, ha il compito di assicurare la protezione del patrimonio informativo aziendale e dei dati personali trattati.

Per quanto concerne i requisiti richiesti dal regolamento, il Data Protection Officer dovrà essere messo in condizioni di assoluta indipendenza e, in totale assenza di conflitti di interesse, dovrà possedere adeguate risorse umane e finanziarie, competenze informatiche e un’ottima conoscenza della normativa sulla privacy. Tale incarico potrà essere affidato sia ad un dipendente interno dell’azienda sia ad una figura esterna tramite un contratto di servizi.

La nomina del DPO è obbligatoria:

  • se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali;
  • se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala (ad esempio tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale, utilizzo tessere fedeltà esercizi commerciali come le farmacie; occuparsi del funzionamento di una rete di telecomunicazioni; tracciamento dell’ubicazione; i programmi di fidelizzazione; utilizzo di un sistema di videosorveglianza; reindirizzamento di messaggi di posta, attività di marketing basate sull’analisi dei dati raccolti, automobili intelligenti, dispositivi per la domotica; ecc.)
  • se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati (ad esempio dati sanitari) o di dati personali relativi a condanne penali e reati.

Cosa si intende per larga scala?

Il Regolamento non fornisce una definizione specifica di “trattamento su larga scala“, anche se alcune indicazioni sono fornite al considerando 91 (ossia il testo che precede la parte dispositiva del regolamento), intendendo per trattamenti su larga scala la gestione di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato. Esiste, però, un’ampia zona di attenzione in cui si collocano attività per cui risulta impossibile precisare la quantità di dati oggetto di trattamento o il numero di interessati.

Ad ogni modo, nel definire i propri trattamenti ed i relativi campi di azione è buona norma considerare:

  • il numero di soggetti interessati dal trattamento, rispetto alla popolazione di riferimento;
  • il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  • la durata dell’attività di trattamento;
  • l’estensione geografica dell’attività di trattamento.

Altro aspetto fondamentale della nuova gestione del trattamento dati personali è legata alla precisa identificazione di tutti i trattamenti eseguiti da un’Organizzazione e relativa analisi dei possibili rischi.

In quest’ottica, Blumatica sta implementando un innovativo sistema di gestione che permetterà di adeguare qualunque tipo di Organizzazione ai nuovi requisiti privacy, rivolgendosi sia al consulente che presta il proprio servizio ad un numero indefinito di aziende sia alla grande Organizzazione che intende gestire all’interno il trattamento dati.

Una check list di autovalutazione consentirà di individuare tutte le operazioni da fare per allinearsi ai nuovi requisiti normativi.

Richiedi maggiori info sulla soluzione software

Francesca De Santis

Francesca De Santis

Responsabile tecnico presso Blumatica S.r.l.


Lascia un commento

La tua email non verrà pubblicata. I campi obbligatori sono contrassegnati *

Newsletter list