Nuovo Regolamento Europeo della privacy (GDPR)

5 maggio 2018

Il Regolamento UE 2016/679 meglio conosciuto come GDPR, sigla di General Data Protection Regulation è una normativa Europea che, a partire dal prossimo 25 maggio 2018 sarà direttamente esecutiva in tutti gli Stati Membri dell’Unione Europea.

La normativa riguarda la protezione dei dati personalidelle persone fisiche e si pone l’obiettivo di uniformare le normative sulla privacy vigenti nei diversi Stati Membri. Rispetto alla nostra attuale normativa (c.d. “codice della privacy”) introduce importanti novità:

  1. Una maggiore responsabilità attribuita a ciascun “Titolare del trattamento”;
  2. Regole più chiare su informativa e consenso;
  3. Limiti al trattamento automatizzato dei dati personali;
  4. Criteri rigorosi per il trasferimento dei dati degli stessi al di fuori dell’Ue;
  5. Norme rigorose per i casi di violazione dei dati;
  6. Sanzioni penali in caso di mancato rispetto della normativa.

I destinatari della normativa sono tutti «titolari del trattamento», ossia chi gestisce le informazioni: privati e, soprattutto, Aziende e Studi professionali.

“Cosa devo fare per adeguarmi? Serve il Commercialista? Serve un Avvocato? Serve un tecnico informatico?”

Prima di tutto è necessario capire oggi dove si colloca la vostra Azienda/ Studio professionale rispetto alle richieste della nuova normativa.

 

Prima Fase

La prima fase di auto-analisi dell’Azienda, propedeutica agli eventuali (ma probabili) successivi interventi del tecnico informatico, la potrete quindi condurre in autonomia, eventualmente con il supporto del nostro Studio.

A tal fine sarà necessario predisporre di una c.d. checklist (lista di controllo) in cui tracciare (documentare) tutte le informazioni attuali relativamente alla protezione dei dati personali.

A titolo esemplificativo:

  • Quali sono le categorie di dati personali che tratta la mia azienda?
    • Dati personali dei clienti?
    • Dati personali dei fornitori?
    • Dati personali dei miei dipendenti?
    • Altro?
  • Per ogni categoria individuata al punto 1: quali dati vengono trattati?
    • Nominativi?
    • Indirizzi?
    • Dettagli bancari?
    • Cronologia dei prodotti acquistati?
    • Cronologia di navigazione online?
    • Altro?
  • Per ogni categoria individuata al punto 1: quali sono gli scopi per i quali dati vengono raccolti e conservati?
    • Marketing?
    • Esecuzione del contratto?
    • Altro?
  • Per ogni categoria individuata al punto 1 per quanto vengono conservati i dati?
  • I dipendenti ed i clienti sono pienamente informati sul come si utilizzino i propri dati personali informa concisa, trasparente, intelligibile e facilmente accessibile utilizzando un linguaggio chiaro e trasparente?

La risposta a queste ed altre specifiche domande dovranno essere tracciate in un documento (anche un file) da tenere sempre aggiornato.

Lo Studio è a vostra disposizione per supportarvi nella redazione di una checklist adatta alle vostre esigenze.

Le risposte alle singole domande consentiranno di valutare quali interventi, “tecnici” o documentali, di adeguamento siano effettivamente necessari alla vostra Azienda.

 

Seconda fase

La seconda fase rappresenterà quindi una sorta di“remediation” agli elementi che, nella prima fase, siano emersi come non conformi alla normativa. A titolo esemplificativo potrà essere necessario:

  • Redigere specifiche procedure interne aziendali che dettagliano come vengono trattati i dati;
  • Introdurre e/o adeguare i consensi informati da consegnare ai clienti/dipendenti;
  • Nominare un Responsabile della Protezione dei dati;
  • Formare adeguatamente i dipendenti circa la nuova normativa;
  • Intervenire tecnicamente su antivirus/firewall;
  • Introdurre un sistema di cambio automatico delle password ogni tot giorni;
  • Altro.

È fondamentale comprendere quindi come tutte le azioni di “remediation”, sia che si tratti di redazione di documentazione che di interventi tecnici, non possano essere “standardizzate” come avveniva spesso in passato (es. procedure “copia-incolla”), ma debbano essere mirate e pienamente plasmate sulla realtà aziendale di riferimento.

Call Now Button