Oramai siamo agli sgoccioli, dal lontano 4 Maggio 2016, giorno della pubblicazione sulla Gazzetta Ufficiale Europea del nuovo regolamento generale sulla protezione dei dati GDPR, ad oggi, pochi si sono interessati all’argomento, probabilmente perchè la scadenza del 25 Maggio 2018 era troppo lontana o forse perchè il regolamento non era e non lo è tutt’oggi, definitivo e molto esaustivo in alcune parti.

Sta di fatto che ad oggi, molti si sono “svegliati” e, come è stao per il DPS, si stanno letteralmente “buttando” a capofitto in quello che si pensa possa essere un nuovo filone di Business.

Probabilmente lo sarà, ma sta di fatto che ad oggi moltissime aziende, professionisti e PMI, non solo non sanno ancora cosa sia, ma la cosa più grave è che molte persone, tra cui anche aspiranti consulenti, confondono le direttive del DPS con il GDPR e alcuni non lo sanno neanche pronunciare e lo chiamano GDPRS.

Questa pagina generale sul GDPR, non ha la pretesa di essere una guida o un vademecum sul GDPR ne tantomeno dare consigli o aggiornamenti, questi li troverete pubblicati nel Blog, l’intento e quello di cercare di fare chiarezza su alcune informazioni basilari, che possono servire a tutti coloro che pronunciano questo termine senza sapere neanche cosa significhi e per le persone che saranno letteralmente “investite” da questi adempimenti, che richiederanno l’impegno di risorse umane ed economiche, che ad oggi, inizio 2018, non sono e non possono essere ancora budgettizzate.

  • Partiamo dal significato del termine GDPR che significa General Data Protection Regulation anche Regolamento UE 2016/679
    Con questo Regolamento la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell’Unione Europea e dei residenti nell’Unione Europea, sia all’interno che all’esterno dei confini dell’Unione europea (UE)
    Gli obiettivi principali della Commissione europea nel GDPR sono quelli di restituire ai cittadini il controllo dei propri dati personali e di semplificare il contesto normativo che riguarda gli affari internazionali unificando e rendendo omogenea la normativa privacy dentro l’UE
    Il GDPR andrà a sostituire la direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/EC) istituita nel 1995, e abrogrerà le norme del Codice per la protezione dei dati personali anche conosciuta come dlgs.n. 196/2003, che risulteranno incompatibili.
    E’ inoltre importante sapere che. i trattamenti dei dati effettuati dall’Autorità Giudiziaria e Forze di Polizia, verranno regolamentate da un’altra Direttiva collegata, la UE 2016/680, con la quale verrà applicata una disciplina in parte derogatrice per i trattamenti dei dati da parte di queste Autorità.
    Il GDPR NON indica come proteggere le informazioni, ma chiede di essere in grado di averle protette in modo adeguato. (Art.5, Principi, comma 1 lett. F)

 

  • La data in cui Tutte le aziende e professionisti devono essere in regola e quindi, già avere adottato TUTTE le misure idonee è il 25 Maggio 2018.
    ATTENZIONE: questa data NON rappresenta la data di partenza per mettersi in regola.

 

  • Chi è il DPO (Data Protection Office) ?
    E’ il responsabile della protezione dei dati. In pratica e una figura che abbia una buona padronanza dei processi informatici, della sicurezza dei dati (inclusa la gestione dei ciber-attacchi) e di altre questioni di coerenza aziendale riguardanti il mantenimento e l’elaborazione di dati personali e sensibili.
    Il monitoraggio dei Data protection office sarà onere del regolatore e non del consiglio di amministrazione dell’organizzazione che assume il funzionario. La nomina di un responsabile per la protezione dei dati all’interno di una grande organizzazione rappresenterà una sfida sia per il consiglio di amministrazione, sia per lo stesso responsabile. Considerati lo scopo e la natura della nomina, sono in gioco una miriade di questioni legate alla governance e a fattori umani che le organizzazioni e le aziende dovranno affrontare. Inoltre, chi detiene l’incarico dovrà creare un proprio team di supporto e sarà anche responsabile del proprio sviluppo professionale continuativo, dal momento che, come “mini-regolatore” ad ogni effetto, dovrà essere indipendente dall’organizzazione che lo ha assunto.

 

  • Casa è l’Analisi dei rischi richiesta dall’art.32 Sicurezza del trattamento, comma 2
    Redigere un documento nel quale vie valutata adeguatamente, il livello di sicurezza, tenendo conto dei rischi presentati dal trattamento e che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

 

  • Cosa è il risk appetite ?
    Rappresenta quanto l’organizzazione è disposta ad esporsi all’impatto del verificarsi si una minaccia. In pratica viene attribuito ad ogni minaccia un grado di probabilità potenziale di realizzarsi e quele è di conseguenza l’impatto che questo rischio avrebbe sull’organizzazione, in termini di riservatezza, integrità e disponibilità. Verificate quali misure sono state adottate per proteggere l’asset oggetto di valutazione, il rischio viene riclassificato, per verificare se l’impatto residuo è accettabile, secondo quanto definito dal risk appetite. Nel caso in cui l’impatto non sia accettabile, va pianificata una strategia tesa a mitigare il rischio, fino a renderlo accettabile

 

  • Cosa è la DPIA (Data Protection Impact Analisys) ? scarica linee guida
    ILa DPIA è quel processo (previsto dall’art. 35 del Regolamento europeo 679/2016 – GDPR ) che il titolare del trattamento deve compiere qualora i trattamenti, allorché prevedano in particolare l’uso di nuove tecnologie, possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
    È dunque una misura volta a descrivere le attività di trattamento, valutandone necessità e proporzionalità e determinandone l’origine, la natura, la particolarità e la gravità del rischio connesso. La DPIA è infine un procedimento atto a costruire e dimostrare la conformità al GDPR, uno strumento di fondamentale importanza messo a disposizione del titolare del trattamento per rispettare il principio di accountability, che pervade tutto il GDPR.

 

  • Cosa è l’Auto Assessment ?
    Rappresenta la verifica preliminare dell’attuale stato di protezione, prevista dal Codice della Privacy all’art. 17, che va affiancata alla DPIA.  In un’ottica di responsabilizzazione dei titolari del trattamento, la DPIA potrebbe essere infatti vista come una “auto-verifica preliminare” che ciascun titolare svolge autonomamente per avere contezza di quali sono i rischi che il trattamento dei dati comporta.

 

  • Nuove norme sulla Violazione dei dati (cd Data Breach) art.33 e art.34
    Il titolare del trattamento dei dati avrà l’obbligo legale di rendere note le fughe di dati all’autorità nazionale e di comunicarle entro 72 ore da quando ne è venuto a conoscenza. I resoconti delle fughe di dati non sono soggetti ad alcuno standard “de minimis” e debbono essere riferite all’autorità sovrintendente non appena se ne viene a conoscenza e comunque entro 72 ore. In alcune situazioni le persone di cui sono stati sottratti i dati dovranno essere avvertite

 

  • Sanzioni
    Possono essere comminate le seguenti sanzioni:

    • un’ammonizione scritta in casi di una prima mancata osservanza non intenzionale.
    • accertamenti regolari e periodici sulla protezione dei dati

    una multa fino a 10 milioni di euro, o fino al 2% del volume d’affari globale registrato nell’anno precedente nei casi previsti dall’Articolo 83, Paragrafo 4 o fino a 20 milioni di euro o fino al 4% del volume d’affari nei casi previsti dai Paragrafi 5 e 6

 

Molti altri sono gli adempimenti da attuare e i cambiamenti o adeguamenti a livello informatico e legale che occorre adottare. Il consiglio è sempre quello di evitare i TUTTOLOGI e affidarsi ad aziende che riescono ad offrire consulenza specifica su ogni settore che coinvlge l’azienda, quindi l’informatico, il legale, il commercialista e il consulente per le pratiche per le certificazioni a norma di legge.

Non sarà indolore, ma a differenza del “fallito” DPS nostrano, il GDPR rappresenta un adeguamento a dei parametri Europei e quindi soggetto anche a verifiche differenti, pertanto il consiglio e di non sottovalutarlo.

Per coloro a cui piace la lettura, a questo link è disponibile il regolamento UE 2016/679 rilasciato dal GARANTE SULLA PROTEZIONE DEI DATI.

 

ATTENZIONE: le informazioni presenti in questa pagina, possono subire delle variazioni, cosi anche il documento presente nel link. Essendo un argomento in continuo aggiornamento, consigliamo di seguire le informazioni sul Blog o direttamente sul sito del Garante sulla Protezione dei Dati