a cura di Harmonia

Il 4 maggio 2016 è stata pubblicata sulla Gazzetta Ufficiale dell’Unione Europea la versione definitiva del testo del Regolamento Europeo 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Il Regolamento Europeo è entrato in vigore il 25 maggio 2016 e si applicherà in tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale le aziende dovranno adeguarsi alla nuova legge sulla privacy.

In riferimento al nuovo regolamento, si sentirà usare sempre più spesso il termine GDPR: General Data Protection Regulation.

Sono due i principali ed importanti principi introdotti al fine di garantire la protezione dei dati personali :

  1. il principio di privacy by default;
  2. il principio di privacy by design.

Il principio di privacy by default fa riferimento alla necessità di tutelare la vita privata dei cittadini per default e quindi come impostazione predefinita dell’organizzazione aziendale: Ogni azienda deve dotarsi di un sistema tale da proteggere adeguatamente i dati personali ed evitare il rischio di una loro violazione.

Il principio di privacy by design, stabilisce invece che la protezione dei dati deve avvenire fin dal disegno e progettazione di un processo aziendale. Quindi, ogni azienda deve effettuare una valutazione dell’impatto-privacy, cioè una puntuale e documentata analisi dei rischi per i diritti e le libertà degli interessati. Questa analisi deve condurre ad escludere il verificarsi in concreto dei rischi legati al trattamento dei dati personali quali ad esempio la loro distruzione, perdita, modifica, divulgazione non autorizzata. 

I nuovi adempimenti privacy previsti dal Regolamento Europeo Privacy sono numerosi ed impegnativi e comportano la riformulazione delle strategie di business, la riorganizzazione dei processi aziendali, la riprogettazione del sistema informativo e la revisione di contratti, deleghe e nomine.

Come indicato anche nel sito del Garante della Privacy, i temi principali da evadere riguardano:

  1. Classificazione dei Dati Personali e dei trattamenti
  2. Fondamenti di liceità del trattamento;
  3. Informativa e Consenso;
  4. Diritti degli interessati (accesso, cancellazione-oblio, limitazione del trattamento, opposizione, portabilità)
  5. Titolare, responsabile, incaricato del trattamento);
  6. Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili (valutazione di impatto, registro dei trattamenti, misure di sicurezza, violazioni dei dati personali, nomina di un RDP-DPO ove necessario);
  7. Trasferimenti internazionali di dati.

Di rilievo sicuramente quanto indicato nel punto 5) che riprende ancora una volta il tema del “rischio”, introdotto recentemente nei sistemi di controllo per i mediatori creditizi dal DM 31/2014 e applicato anche ai sistemi di certificazione, tra cui probabilmente il più conosciuto Uni En Iso 9001:2015.

Quali i punti di attenzione immediati su cui iniziare a lavorare:

  1. Deve essere definito il “Privacy Impact Assessment” ovvero un registro che riporta la valutazione del rischio che deve essere dichiarato con le misure in atto per limitare o eliminare tale rischio su ogni singola procedura.
  2. Per alcune tipologie di attività è prevista la figura del Privacy Officer, un consulente della privacy che ha il compito di verificare che i trattamenti vengano effettuati in modo corretto; una persona di riferimento per tutte le problematiche legate alla privacy, è inoltre la persona che si interfaccia direttamente con il Garante, con il Titolare del trattamento e l’Interessato.
  3. Con l’informativa deve essere più chiara e con il consenso, il cliente (l’interessato) deve chiaramente dimostrare di avere capito le finalità e le modalità del trattamento.
  4. Obbligatorio il “data breach notification” ossia l’obbligo di notifica al Garante degli “incidenti” subiti entro le 72 ore, con obbligo d’avviso agli interessati e il ripristino immediato di tutti i dati.
    Questa procedura non può essere improvvisata solo a seguito di una perdita dei dati, ma deve essere progettata a priori prevedendo un piano d’emergenza.

E’ evidente che buona parte di questo nuovo regolamento impatterà sui sistemi informativi ed informatici delle aziende.

La protezione degli asset informatici è ottenuta, infatti, attraverso misure di carattere tecnico ed organizzativo, sia di prevenzione che di protezione, tese ad assicurare:

  • l’accesso protetto e controllato ai dati, a garanzia della confidenzialità delle informazioni
    trattate (proprietà di riservatezza)
  • la consistenza dei dati, intesa come completezza e correttezza degli stessi (proprietà di
    integrità)
  • l’accesso ai dati nei tempi e nei luoghi previsti (proprietà di disponibilità)

Segnaliamo che il Garante per la protezione dei dati personali ha elaborato una versione “arricchita” del testo del Regolamento (UE) 2016/679, che – laddove necessario – segnala in corrispondenza di articoli e paragrafi i relativi “Considerando” di riferimento, in modo da offrire una lettura più ampia e ragionata delle previsioni introdotte dalla nuova normativa

Ignorare il nuovo regolamento o commettere errori nella sua applicazione può avere conseguenze costose: alcune violazioni del regolamento sono punibili con sanzioni pecuniarie fino al 4% del fatturato totale annuo dell’azienda o fino ad un massimo di 20 milioni di euro e danneggiare cosi la reputazione aziendale.

Harmonia SCF, società certificata Uni EN Iso 9001:2105 per le attività di Consulenza e Compliance, si rende disponibile con l’ausilio del proprio staff a supportare mediatori creditizi e broker assicurativi nella fase di studio e di allineamento normativo.