GDPR – consulenza e adeguamenti

GDPR: PILLOLE DI PRIVACY
Novità importante: il principio di responsabilizzazione (“accountability”) del titolare e del responsabile del trattamento. Esso consiste nell’adottare misure tecniche e organizzative adeguate a garantire e a dimostrare che il trattamento dei dati personali è effettuato conformemente al regolamento. Il titolare e il responsabile del trattamento hanno nuovi obblighi, la cui violazione viene sanzionata.

​Il consenso raccolto prima del 25/05/18 resta valido solo se ha tutte le caratteristiche individuate dal nuovo GDPR. In caso contrario è opportuno adoperarsi per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento.

Due gli adempimenti rilevanti:
1. la tenuta dei registri delle attività di trattamento (articolo 30 del regolamento). Tale articolo prevede l’obbligo sia per i titolari che per i responsabili esterni del trattamento dei dati di tenere i registri delle attività di trattamento svolte. Le imprese e le organizzazioni con meno di 250 dipendenti non sono obbligati a tenere il registro dei trattamenti. Ovviamente, ciò non vale per tutti. Coloro che, pur avendo un numero di dipendenti inferiore a 250 trattino dati sensibili e giudiziari in modo non occasionale, non sono esonerati dall’obbligo.
2. la nomina del responsabile della protezione dei dati o “data protection officer” (articolo 37 del regolamento). La nomina avviene sulla base delle competenze professionali ed in particolare sulla conoscenza della normativa e gestione dei dati personali. Può essere sia un dipendente interno all’aziende sia un consulente esterno. L’art.37 prevede che tale figura debba essere obbligatoriamente nominata, oltre che dalle amministrazioni ed enti pubblici, da tutti i soggetti che svolgono quale attività principale trattamenti che “per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala” o che svolgono, sempre su larga scala, trattamento di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

Cosa si intende per “trattamento” di dati personali? Quali trattamenti esegue tipicamente un’azienda o uno studio professionale?
Per “trattamento” si intende qualunque tipo di operazione che viene svolta su dati personali. Ad esempio, raccogliere dei dati creando un archivio o una banca dati, creare copie dei dati, accedere ai dati in lettura o modifica, comunicare i dati a terzi e trasmetterli via internet o con altre modalità sono tutte operazioni di trattamento soggette al GDPR.
I trattamenti sono normalmente descritti– ad esempio ai fini della compilazione del Registro dei trattamenti – attraverso il riferimento a processi o banche dati aziendali.
Ecco alcuni esempi di banche dati e attività la cui gestione rappresenta tipicamente un’operazione di trattamento da parte di studi professionali e aziende:
‐ anagrafiche clienti
‐ anagrafiche dipendenti
‐ anagrafiche fornitori
‐ videosorveglianza
‐ campagne commerciali e di marketing
‐ gestione di un sito web

​In quali aziende è necessario individuare il DPO? Qualche esempio?
La normativa prevede che devono designare obbligatoriamente un DPO:
a) amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie;
b) tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
c) tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

Nel precisare che anche i dipendenti di un’azienda appartengono alla categoria degli “interessati”, aldilà del freddo linguaggio burocratico, tutte le Pubbliche Amministrazioni devono avere un DPO, mentre per le altre organizzazioni non esiste una regola precisa e inequivocabile, ma va sempre valutata la situazione caso per caso. Possedere una buona conoscenza della materia può aiutare a comprendere se è necessario, se è consigliabile o se è eccessivo avere un DPO, nel rispetto della norma ma anche nell'interesse dell’azienda. La sola presenza di un DPO, infatti, può facilitare l’osservanza della normativa e aumentare il margine competitivo delle organizzazioni.

Le aziende dovranno in sintesi:
● proteggere i dati personali dei clienti da accessi non autorizzati;
● dotarsi di strumenti tecnologici adeguati per il trattamento dei dati e la difesa da attacchi informatici;
● introdurre la figura del DPO (Data Protection Officer) interna o esterna;
● introdurre procedure per la gestione dei dati e la loro conservazione;
● istruire il personale sulla nuova normativa.

I commenti sono chiusi