Il Regolamento (UE) 2016/679 (più comunemente noto come GDPR - General Data Protection Regulation) concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati, è entrato in vigore il 24 maggio 2016 e sarà direttamente applicabile in tutti gli Stati membri, a partire dal 25 maggio 2018. A tal proposito, è stata approvata la Legge 25 ottobre 2017, n. 163 (pubblicata in GU Serie Generale n. 259 del 6 novembre 2017), recante “Delega al Governo per il recepimento anche del Regolamento (UE) 2016/679, in funzione della legislazione nazionale - Legge di delegazione europea 2016-2017”.
Le molteplici novità introdotte dal GDPR si traducono in obblighi organizzativi, documentali e tecnici che il Titolare del trattamento dei dati personali, deve fin da subito, considerare e tenere presenti, per consentire la piena e consapevole applicazione del nuovo quadro normativo in materia di Privacy entro il 25 maggio 2018, compreso, in alcuni casi, la designazione obbligatoria di un Responsabile della Protezione dei dati – Data Protection Officer.
Uno dei principi cardine su cui si basa il nuovo Regolamento Europeo UE 2016/679 è, sicuramente, quello della dimostrabilità delle operazioni di trattamento effettuate dalle aziende. Tale principio è noto con il termine anglosassone “accountability” (“responsabilizzazione”), il quale sta ad indicare la necessità, per i Titolari del trattamento, di conoscere le operazioni compiute, nonché di analizzare, conoscere, definire e rendicontare rispettivamente, i flussi normativi, i soggetti coinvolti e le regole per la corretta gestione e conservazione dei dati. Enti pubblici e imprese saranno dunque maggiormente responsabilizzati, anche attraverso sanzioni piuttosto elevate. In termini generali, la violazione delle disposizioni può prevedere sanzioni amministrative pecuniarie fino a 20 milioni di euro, oppure per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore alla predetta cifra.
Allo stesso modo l’inosservanza di un ordine da parte dell’autorità di controllo, prevede sanzioni amministrative pecuniarie fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore alla predetta cifra.
A queste si devono poi aggiungere le possibili implicazioni penali previste dalla legislazione del paese in caso di violazione grave, a cui sarebbero soggetti sia il Titolare del trattamento dei dati che il Responsabile del Trattamento se separati e non da meno:
• danno d’immagine sul mercato in caso di divulgazione dei dati (incalcolabili)
• perdita di produttività in caso di perdita dei dati
Scopo della consulenza privacy offerta dalla TDCONSULTING, è quello di creare all’interno dell’azienda, una nuova cultura, attraverso una gestione dinamica e proattiva della privacy, che possa valorizzare l’immagine aziendale ed allo stesso tempo ridurre il rischio di sanzioni (amministrative, penali e in taluni casi di risarcimento del danno all’interessato). Il nuovo Regolamento europeo UE 2016/679, obbliga le aziende ad implementare processi e politiche volti a dare alle persone un maggiore controllo sui dati personali.
Per questo TDCONSULTING è in grado di affiancarvi con consulenti specializzati ed esperti della materia, in maniera rapida ed efficiente per adempiere ai seguenti obblighi previsti dal Regolamento Europeo UE 2016/679:
• Assunzione del ruolo di Responsabile della protezione dei dati – Data Protection Officer (DPO) che rappresenta una figura di alto livello professionale, obbligatorio per Pubbliche Amministrazioni e per determinate aziende, prontamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali, che gode di ampia autonomia, abile nello sviluppare e implementare le pratiche di protezione dei dati in ambiti che richiedono un'ottima gestione del cambiamento.
Le sue competenze sono molto ampie:
• Informare e consigliare il Titolare dei trattamenti dei dati;
• verificare l’attuazione e l’applicazione del Regolamento;
• effettuare una valutazione dei rischi;
• svolgere verifiche, coordinare i lavori in caso di incidenti/violazioni informatiche;
• fungere da punto di contatto per gli interessati e per il Garante;
• monitoraggio, notifica e comunicazione delle eventuali violazioni dei dati personali;
• Analisi, censimento e classificazione dei dati personali, banche date (cartace, informatiche e archivi), sia interne che esterne, gestite con supporti informatici e/o cartacei, in base ai ruoli, responsabilità, mirata alla comprensione del perimetro operativo ed all’individuazione dei processi più o meno delicati, che comportano il trattamento dei dati personali, sensibili e giudiziari.
• Analisi dei rischi, applicando la metodologia più idonea all’azienda, implementando ad esempio la metodologia ISO 27001:13, ISO 31000, che rappresenta uno dei più efficaci standard internazionali di riferimento che le imprese, possano adottare su base volontaria per adeguarsi al suddetto Regolamento Europeo UE 2016/679, assicurando l'integrità, la riservatezza, la disponibilità dei dati e la resilienza dei sistemi e dei servizi di elaborazione, riducendo così al minimo i rischi di violazioni e tutelando l’azienda.
• Individuazione delle aree di miglioramento (“Gap Analysis”) con redazione del piano di trattamento del rischio.
• Redazione della Data Protection Impact Assessment (DPIA) ovvero la valutazione preliminare d’impatto sulla protezione dei dati personali, che aiuterà l’azienda, ad individuare e mitigare i rischi privacy, derivanti dal rilascio di un nuovo progetto o modifica delle gestione nel suo complesso, affidamento di trattamenti di dati. La valutazione d’impatto del trattamento dei dati personali costituisce parte integrante dell’approccio Privacy by Design, ed aiuta ad assicurare che i problemi potenziali siano identificati negli stadi iniziali del progetto quando la possibilità di indirizzarli è spesso più efficace e meno costosa.
• Implementazione del Registro delle attività di trattamento, che rappresenta uno strumento fondamentale per mappare i flussi di dati all’interno dell’azienda, laddove richiesto dal Regolamento Privacy UE 2016/679.
• Predisposizione e aggiornamento della documentazione a supporto del disposto di legge:
• nomine dei responsabili, persone autorizzate, amministratore di sistema, etc.
• informativa agli interessati al trattamento dei dati,
• informativa del sito web,
• consensi al trattamento dei dati,
• informativa fornitori,
• consensi al trattamento inerenti altri processi interni ed esterni,
• politica aziendale della privacy,
• contratti di outsourcing, per disciplinare eventuali rapporti di Contitolarità,
• contratti per disciplinare il trasferimento di dati all’estero.
• Assistenza sulla definizione delle misure minime di sicurezza.
• Implementazione dell’organigramma privacy.
• Implementazione degli atti di nomina ed istruzioni scritte ai dipendenti e collaboratori, responsabili del trattamento, Amministratore di Sistema, etc.
• Consulenza inerente la videosorveglianza.
• Consulenza inerente il marketing per attività di profilazione.
• Implementazione ed aggiornamento del Modello Organizzativo Privacy per la protezione dei dati personali secondo il principio Privacy by Default, in relazione al nuovo GDPR (Regolamento Privacy UE 2016/679), composto da: procedure, istruzioni operative, linee guida, regolamenti aziendali privacy, codici di condotta, etc..
• Corsi di Formazione ed Informazione sul Regolamento Privacy UE 2016/679 e sul Modello Organizzativo Privacy, adeguato alle relative mansioni, per renderli edotti sia sui rischi e minacce che incombono sui dati, che sulle misure di sicurezza disponibili per prevenire eventi dannosi
• Supporto e consulenza telefonica costante di personale specializzato.
• Consultazione Preventiva, Comunicazioni e Notifiche al Garante Privacy
• Reclami e Ricorsi al Garante Privacy
• Conduzione di audit interni e/o attività di revisione su tutti i processi critici, per permettere al Titolare del trattamento dell’azienda, di verificare l’efficacia operativa, dopo aver messo in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento Europeo UE 2016/679.
