NUOVO REGOLAMENTO (EU) 2016/679 PER LA DATA PROTECTION
Il 25 maggio 2016 è entrato in vigore il nuovo Regolamento Europeo e si applicherà in tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale le aziende dovranno adeguarsi alla nuova legge sulla privacy.
L’impronta del regolamento si orienta verso un maggior rigore, che si manifesta nella previsione di sanzioni più pesanti e di adempimenti più articolati, e comporta una maggiore cautela nel trattamento dei dati.
Tra le novità più rilevanti:
- I dati personali devono essere protetti con misure organizzative e tecniche adeguate a garantire la riservatezza e l’integrità (Protocolli o Procedure o Manuale);
- I diritti dell’interessato sono più ampi e maggiormente tutelati (diritto all’Oblio, divieti per le attività di profilazione, etc) ;
- Il responsabile del trattamento deve metter in atto misure tecniche ed organizzative (Protocolli o Procedure o Manuale) tali da consentirgli di dimostrare che tratta i dati personali in conformità al regolamento: tali misure devono seguire lo stato dell’arte e devono derivare da una preventiva analisi dei rischi;
- L’ Impianto della privacy deve essere strutturato secondo i principi della “Privacy by default”, intendendo così sottolineare la necessità della tutela della vita privata dei cittadini “di default” appunto, cioè come impostazione predefinita;
- L’Impianto della privacy deve essere strutturato secondo i principi della “Privacy by design”: ogni nuovo trattamento di dati personali, deve essere progettato in modo da garantirne la sicurezza richiesta in base ai rischi a cui è sottoposto prima di essere implementato. Anche i sistemi informatici dovranno essere progettati secondo tale principio (prevenirequindi, non correggere. I problemi vanno valutati nella fase di progettazione);
- Devono essere mantenuti aggiornati registri dei trattamenti dei dati. Tali registri non sono obbligatori per aziende con meno di 250 dipendenti, salvo che non trattino dati sensibili o giudiziari;
- Il responsabile del trattamento deve notificare alla autorità competente entro 72 ore dall’evento, ogni violazione dei dati trattati (data Breach);
- Grande attenzione alla sicurezza delle informazioni informatiche, avvicinandosi in alcuni punti alla Norma UNI EN ISO/IEC 27001;
- Inasprimento dell’apparato sanzionatorio in caso inadempimenti arrivando fino a 20 milioni di euro;
- Nelle aziende pubbliche e in quelle che trattano su larga scala dati sensibili e giudiziari, è prevista la Designazione del Data Protection Officer (DPO);
- Viene introdotta inoltre la Certificazione del sistema di Gestione della privacy a cura di Organismi accreditati da Accredia.
Con il Nuovo Regolamento il Titolare ha un ruolo più proattivo e obblighi più pregnanti, finalizzati non soltanto al formalistico rispetto delle regole, ma anche all’adozione di tutti gli accorgimenti tecnici e organizzativi necessari a garantire la compliance effettiva dei trattamenti, anche sotto il profilo della sicurezza. Il nuovo regolamento sarà più impegnativo per le organizzazione che operano nel settore sanitario (cliniche, ambulatori privati, farmacie…), Call Center, Società di Informatica (che detengono ad esempio nei propri server dati sensibili per conto di loro clienti) dati e studi di consulenza del lavoro, sudi legali e consulenza del lavoro, etc…, oltre ovviamente all’obbligo per gli Enti della Pubblica Amministrazione, Banche e Istituti di Credito, Compagnie di Assicurazione, e tutto il Sistema Pubblico Sanitario.
CONSULENZA E ASSISTENZA
ITALCONSULENZA, attraverso i propri consulenti altamente qualificati nel settore della Privacy e della Protezione dei Dati, offre i seguenti servizi:
- Check up iniziale gratuito per la individuazione delle criticità e del Gap rispetto al GDPR (General Data Protection Regulation);
- Elaborazione del Risk Assesment (analisi e valutazione dei rischi in ambito Data Protection);
- Progettazione ed implementazione di misure tecniche ed organizzative tali da dimostrare che il trattamento dei dati viene svolto in conformità al regolamento (EU) 2016/679;
- Formazione (obbligatoriamente prevista dal GDPR) del “Responsabile del Trattamento dei dati” con rilascio di attestato;
- Formazione del “Data Manager” aziendale sia sul GDPR che sulla gestione delle Misure Tecniche ed Organizzative adottate dalla azienda;
- Formazione del DPO – Data Protection Officer (ove Applicabile), con Certificazione delle sue competenze rilasciato da Primario ente di certificazione accreditato Accredia;
- Nel caso in cui la azienda non intendesse formare, ove necessario, un proprio DPO interno, ITALCONSULENZA fornisce tale figura tramite contratto di consulenza esterna.
FORMAZIONE GRATUITA
ITALCONSULENZA è “Soggetto Promotore” e “Soggetto Attuatore” per il fondo di formazione Interprofessionale “FONDITALIA”.
Perciò tutte le attività di formazione inerenti alla implementazione delle “misure tecniche ed organizzative”, tali da dimostrare che il trattamento dei dati viene svolto in conformità al regolamento (EU) 2016/679, nonché la formazione obbligatoria prevista per il titolare del trattamento dei dati, possono rientrare tra quelle finanziate. ITALCONSULENZA quindi può individuare soluzioni personalizzate grazie al contributo dei fondi e offrire consulenze a tariffe sensibilmente ridotte.