REGOLAMENTO PRIVACY EUROPEO

IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
REG.(UE) 2016/679






Protezione dei dati personali: manca poco all'entrata in vigore del nuovo decreto

Il 25 maggio 2018 entrerà in vigore il nuovo Regolamento europeo in materia di protezione dei dati personali. Cosa fare per assicurarsi di essere in regola.

Il Regolamento (UE) 679/2016 del Parlamento europeo e del Consiglio del 27 aprile 2016 va ad aggiornare le precedenti normative relative alla protezione dei dati personali.

Le imprese dovranno quindi adeguare il proprio organigramma, ripartire le funzioni e procedere alla valutazione dei rischi per individuare gli strumenti più adatti a tutelare la riservatezza del personale.

In particolare, gli adempimenti da mettere in campo per la tutela della riservatezza possono anche avere ricadute sui modelli di organizzazione, gestione e controllo aziendale ai sensi del Decreto Legislativo n. 231/2001. I modelli 231 comprendono infatti tutte quelle regole e procedure organizzative che, strettamente studiate per il singolo ente, prevengono la commissione di reati da parte dello stesso.




Come prepararsi al nuovo regolamento

La realizzazione del modello organizzativo per la privacy presenta in realtà molte somiglianze con le disposizioni indicate nel Decreto Legislativo n. 231/2001, precedentemente illustrato. In entrambi i casi infatti si fa riferimento alle norme di responsabilità amministrativa delle persone giuridiche.

Tuttavia il nuovo Regolamento UE 679/2016 rivoluziona la normativa sulla privacy e abroga la direttiva 95/46 da cui "discende" l'attuale Codice italiano sulla privacy (Decreto legislativo 196/2003).

Per compliance aziendale s'intende la conformità delle attività aziendali a regolamenti, disposizioni normative, codici di condotta e procedure precedentemente stabilite. Ecco dunque cosa fare per adeguare la compliance aziendale alle nuove prescrizioni di privacy.

  • Revisionare l'organigramma
  • Introdurre un dossier sulla privacy
  • Valutare i rischi relativi al trattamento dei dati
  • Comunicare le violazioni riscontrate
  • Implementare le misure di sicurezza necessarie a mitigare il rischio
  • Implementare un codice di condotta o regolamento interno

Vediamo nel dettaglio ciascuno di questi punti.


Revisionare l'organigramma
Occorre prestare subito attenzione alle nomine esistenti e rivedere le descrizioni per i nuovi compiti, assegnati al titolare, al responsabile e agli incaricati del trattamento. Come accade per il sistema 231, secondo la Segregation of duties (Sod), si dovrà provvedere a:

  • individuare le responsabilità di ciascuna funzione
  • descrivere in dettaglio i compiti affidati ad ogni responsabile

Il titolare del trattamento ha il compito di mettere in atto gli adempimenti previsti dalla normativa. Egli deve provare di aver messo in atto le iniziative necessarie e ad esso verranno rimproverate eventuali violazioni e omissioni delle prescrizioni e dei divieti introdotti.

In alcuni casi, espressamente indicati dalla normativa, è necessario nominare anche un Data protection officer (Dpo). Occorre quindi valutare quando tale operazione è necessaria o semplicemente opportuna.


Introdurre un dossier sulla privacy
Il dossier privacy (detto anche modello organizzativo privacy) dovrà raccogliere tutti gli adempimenti necessari ad assicurare il massimo grado di riservatezza e tutela dei dati personali trattati all'interno dell'azienda.

Valutare i rischi relativi al trattamento dei dati
Dovrà essere stilato una sorta di Risk assessment privacy, che raccolga il riepilogo delle analisi effettuate. Qui verranno individuati i possibili rischi associati alle attività svolte, dopo un attento esame dei processi e degli ambiti all'interno dei quali vengono trattati i dati in questione.

Nell'eseguire tale valutazione, è fondamentale tener conto della:
  • identità dei soggetti interessati al trattamento (es. dipendenti o fornitori)
  • tipologia di dati trattati (es. dati sanitari, anagrafici,...)
  • finalità del trattamento
  • categoria di trattamento entro i quali sono compresi i dati gestiti dall'azienda

Inoltre è necessario garantire un costante aggiornamento del documento in caso di mutamenti organizzativi o normativi che possono incidere sul trattamento dei dati messi a disposizione dalle imprese.


Comunicare le violazioni riscontrate
Il nuovo regolamento richiede inoltre l'introduzione di specifiche modalità di comunicazione in caso di eventuali data breach, cioè di violazioni riscontrate sui dati personali.

A tale scopo sarà utile individuare un responsabile che riceva le segnalazioni e individui le iniziative da intraprendere (a livello organizzativo e tecnico) per porre rimedio alle irregolarità verificatesi, trasmettendo la modulistica corretta a seconda della tipologia di violazione riscontrata.


Implementare le misure necessarie a mitigare il rischio
Occorre controllare che le misure di sicurezza, anche informatiche, siano adeguate ai rischi valutati e, se necessario, implementarle con backup, disaster recovery, business continuity, intrusion detection, antivirus, firewall, penetration test, code analisys, ecc.

Implementare il codice di condotta
Per sensibilizzare il personale dipendente e le risorse impiegate ad ogni livello nell'assessment aziendale, è prevista infine un'implementazione del codice di condotta che garantisca la corretta osservanza delle prescrizioni del nuovo regolamento per la protezione dei dati personali.

Tale implementazione è da sviluppare tenendo conto delle caratteristiche peculiari del settore e delle esigenze specifiche delle piccole e medie imprese.



Vico Sistemi offre servizi di consulenza e formazione per aziende e studi professionali che hanno bisogno di ottemperare a quanto previsto dalle normative vigenti in materia di privacy.
 
richiedi contatto
 

      Accetta i termini e condizioni