Consulenza alle aziende per l'adeguamento Privacy GDPR

Nuova normativa in materia di privacy: regolamento europeo 679/2016 (gdpr) e del d.Lgs 101/2018

Dal 25 maggio 2018, in tutti gli Stati Europei, è entrato in vigore il Regolamento n. 679/2016 chiamato anche GDPR (General Data Protection Regulation) e successive modifiche ed integrazioni, finalizzato alla protezione dei dati personali delle persone fisiche con riguardo al loro trattamento e circolazione.

Cosa prevede il gdpr privacy e successive modifiche ed integrazioni?

Sogetti interessati

La nuova normativa privacy interessa tutte le aziende, gli enti pubblici e i soggetti che si trovino a gestire, conservaretrasferire o trattare dati personali (comuni o sensibili) di soggetti con cui entrino in contatto durante la propria attività lavorativa (clienti/pazienti, fornitori, collaboratori, dipendenti ecc…);  il GDPR si applica non solo alle organizzazioni situate all’interno dell’Unione Europea, ma interessa anche  soggetti (pubblici o privati) con sede al di fuori dell’Unione Europea, ma  che trattano e conservano i dati personali degli interessati residenti nell’UE.

Adempimenti obbligatori per l’adeguamento:

Attualmente ciascun Titolare e Responsabile del trattamento deve svolgere i seguenti adempimenti:

  • valutazione del rischio e analisi organizzativa caso per caso (DPIA);
  • adozione di misure di sicurezza idonee ed organizzazione di procedure operative;
  • redazione di informative ed acquisizione del consenso in caso di trattamento di dati personalissimi ed al di fuori dei casi in cui esiste già una base giuridica legittimante il trattamento dei dati personali;
  • conferimento degli incarichi (Persona autorizzata al trattamento, responsabili del trattamento interni ed esterni, eventuale DPO (in casi particolari previsti dalla normativa);
  • istituzione e aggiornamento del Registro del Trattamento dei dati;
  • periodica formazione degli incaricati;
  • notifica delle violazioni privacy – c.d. “data breach” – al Garante della Privacy.

Chi e’ il DPO (Data Protection Officer) ed in quali casi e’ obbligatoria la nomina:

Il Data Protection Officer (DPO) è una figura introdotta dal GDPR.

Le sue responsabilità principali sono legate ad osservazione e valutazione della gestione del trattamento e protezione dei dati personali in azienda nel rispetto delle normative di privacy europee e nazionali.

ALCUNI DEI SUOI COMPITI:

  • Informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, sugli obblighi previsti dalle norme in materia;
  • Verificare l’attuazione e l’applicazione delle norme;
  • Se richiesto, fornire pareri ed assistere il titolare in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
  • Cooperare con le autorità di controllo;
  • Fungere da punto di contatto, non solo per l’autorità di controllo ma anche per gli interessati al trattamento, in merito a qualunque problematica connessa ai loro dati o all’esercizio dei loro diritti;
  • Considerare debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

La nomina del DPO è obbligatoria, sia per il titolare che per il responsabile del trattamento, ogni qualvolta si ricada in uno dei seguenti casi:

  • Trattamento dati effettuato da Pubbliche Amministrazioni (es. Comuni, Ospedali, Scuole ecc.);
  • Soggetti che hanno come core business (attività principale) il monitoraggio regolare e sistematico su larga scala delle persone;
  • Soggetti che hanno come core business (attività principale) il trattamento su larga scala di dati particolari (es. stato di salute, dati sindacali, biometrici ecc.) o dati giudiziari.

Chi sono i soggetti privati tenuti a designare un DPO:

Innanzitutto, i soggetti che svolgono come attività principale su larga scala il monitoraggio di dati personali o il trattamento di dati particolari o giudiziari, si pensi ad esempio a:

  • Istituti di credito
  • Imprese assicurative
  • Sistemi di informazione creditizia
  • Società finanziarie, di informazione commerciale, di revisione contabile, di recupero crediti
  • Istituti di vigilanza
  • Partiti e movimenti politici
  • Caf e patronati
  • Società operanti nel settore delle utilities come telecomunicazione, energia elettrica e gas
  • Imprese di somministrazione lavoro e ricerca di personale
  • Ospedali privati
  • Terme
  • Laboratori di analisi mediche e riabilitazione
  • Società di call center, di servizi informatici e televisivi a pagamento
  • Hosting di posta e società di informatica che monitorano misure di sicurezza informatica.

Sanzioni in caso di omesso adeguamento del tirolare del trattamento al nuovo regolamento privacy:

Il GDPR prevede le seguenti sanzioni amministrative pecuniarie:

  • 10 milioni di euro o 2 % del fatturato mondiale annuo (dell’anno precedente) per le imprese che, ad esempio, non nominano il DPO nei casi in cui sia reso obbligatorio dalla normativa, non comunicano un data breach all’Autorità garante, violano le condizioni sul consenso dei minori oppure trattano in maniera illecita i dati personali degli utenti;
  • 20 milioni di euro o 4 per cento del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri

Paesi o di inosservanza di un ordine imposto dal Garante.

In ogni caso, le conseguenze per imprese e professionisti che commettono violazioni sono diverse:

  • sanzioni penali;
  • sanzioni amministrative;
  • risarcimento del danno in favore dell’interessato;
  • divieto di trattamento dei dati personali fino a che non sia posto rimedio alla situazione di non conformità.

Il Garante privacy dovrà provvedere affinché le sanzioni amministrative pecuniarie inflitte ai sensi del GDPR siano in ogni singolo caso effettive, proporzionate e dissuasive. Infine, i singoli Stati della UE potranno introdurre norme relative ad altre sanzioni per le violazioni del GDPR, in particolare per le violazioni non soggette alle sanzioni amministrative pecuniarie sopra indicate; anche tali sanzioni dovranno essere effettive, proporzionate e dissuasive.

Contattaci

Per qualsiasi informazione compila il form, un nostro responsabile ti contatterà nel più breve tempo possibile

"*" indica i campi obbligatori