Il 25 maggio 2018 è entrato in vigore il Regolamento (UE) 2016/679 (di seguito anche «GDPR»), il quale ha tra i suoi obiettivi e novità quelli di:
- armonizzare la disciplina sulla protezione dei dati personali all’interno di tutta l’Unione europea;
- rafforzare e introdurre nuovi diritti degli interessati;
- attribuire fondamentale importanza ai principi della accountability, della privacy by design e by default;
- inasprire le sanzioni portandole sino a € 20.000.000 o al 4% del fatturato mondiale annuo del gruppo;
- introdurre la figura del Data Protection Officer (di seguito, anche, «DPO»).
Per la conformità al GDPR, enti ed organizzazioni devono configurare un c.d. «sistema privacy», che si evolve nel tempo, costituito dai seguenti componenti:
- Registro dei Trattamenti
- Informative (incluse Cookie e Privacy Policy)
- Lettere di Incarico al trattamento dei dati
- Procedure
- Registro Data Breach
- Analisi dei Rischi
- DPIA
- Cookie banner per il sito web
- Termini di vendita e Condizioni di utilizzo del sito web
Un sistema privacy ben definito garantirà di essere GDPR compliant.
Cosa vuol dire essere compliant al GDPR?
Significa rispettare i suoi princìpi, adottando procedure specifiche affinché il rischio sui dati trattati sia basso.
Essere compliant al GDPR significa anche che il titolare del trattamento, i suoi incaricati e i collaboratori devono essere formati ed informati su come comportarsi per:
- proteggere i dati personali;
- applicare misure di sicurezza adeguate, sia tecnologiche che organizzative;
- provare l’efficacia delle misure di sicurezza tramite il principio di accountability.
Quindi, per essere compliant, bisogna agire con accountability.
Quali sono i 3 passi da compiere?
- Informarsi ed essere consapevoli
Il titolare del trattamento deve essere consapevole del perimetro entro cui opera, per poter rendicontare.
Deve quindi conoscere:
- quali dati tratta;
- come vengono acquisiti;
- come e con quali finalità vengono utilizzati;
- dove risiedono i dati raccolti;
- chi ha l’accesso ai dati raccolti;
- dopo quanto tempo vengono eliminati.
Quindi, per essere consapevoli, la prima cosa da fare è formarsi e rivolgersi a dei consulenti esperti e aggiornati, utili a raggiungere la compliance al GDPR.
- Valutare i rischi
Prima di trattare un dato, è importante valutare i rischi che possono ricadere su l’interessato. Ciò significa effettuare un’analisi dei rischi e adottare di conseguenza le contromisure necessarie per proteggere i dati e per mantenere un rischio basso.
- Verificare la conformità dei collaboratori esterni
Adottare tutti gli accorgimenti interni non è sufficiente.
Il GDPR obbliga il titolare del trattamento a verificare che anche i responsabili del trattamento siano conformi.
I responsabili del trattamento sono coloro che trattano alcuni dati personali per conto del titolare come ad esempio il consulente fiscale, la software house ecc.
Il cerchio intorno al Titolare del Trattamento deve essere costituito da collaboratori che possiedano adeguate contromisure e trattino i dati in modo che il rischio residuale sia basso.
In materia di consulenza gdpr privacy e protezione dei dati personali, dal 2013 opera un team di specialisti del settore, in grado di supportare ogni azienda a 360 gradi, grazie a una consolidata esperienza nel settore della privacy e protezione dei dati personali sia a livello italiano che europeo.
Lo staff di Avvocati e Privacy Officer di Ius Privacy offre consulenza legale gdpr in termini di:
- protezione dei dati personali;
- audit e revisione delle privacy policy aziendali;
- atti e modulistica privacy;
- trasferimento di dati personali.
Lo Studio tecnico/legale di IusPrivacy configura con l’azienda i documenti necessari all’adeguamento, comprese la generazione delle informative (policy), la configurazione delle lettere di nomina degli Incaricati (dipendenti) e dei Responsabili (fornitori) al trattamento, l’individuazione delle misure di sicurezza (valutazione dei rischi) per la piena conformità alle norme privacy vigenti.
La produzione dei documenti è condotta su IusPrivacy.eu, piattaforma per la gestione degli adempimenti Privacy in modalità SaaS (Software as a Service).