Finalità
L’attività di consulenza proposta è volta ad individuare e definire le procedure necessarie per l’adeguamento al Regolamento Europeo in materia di trattamento dei dati personali. Essa prevede la messa in atto di misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato in modo conforme alle prescrizioni di legge.
Oggetto
Il servizio consiste in un supporto legale ed informatico per la realizzazione di un piano di misure idonee a garantire l’attività di trattamento dei dati in conformità alla nuova normativa.
Inoltre, l’offerta prevede un piano di formazione periodico del personale addetto al trattamento dei dati sui continui aggiornamenti della normativa e sulle migliori pratiche di comportamento.
Gli interventi saranno svolti da professionisti del settore, in possesso di idonee qualità e comprovata conoscenza specialistica della materia trattata.
COSA CAMBIA
Il Regolamento Generale sulla Protezione dei Dati, conosciuto come GDPR (General Data Protection Regulation), sostituisce l’attuale disciplina in tema di privacy ed implica l’applicazione di nuove ed importanti regole per quanto riguarda la sicurezza dei dati in tutta Europa. A partire dal 25 maggio 2018 aziende, enti ed organizzazioni che trattano dati personali dovranno rispondere alle nuove e stringenti tutele imposte dalla nuova normativa.
A CHI SI RIVOLGE
A norma dell’art. 2 del Regolamento, è soggetto alla nuova disciplina chi, azienda, Ente od organizzazione, effettui un trattamento di dati personali, salvi i casi di esclusione specificamente indicati.
COSA COMPORTA
L’adeguamento al nuovo Regolamento Europeo richiede una revisione globale di tutti i processi interni, organizzativi, tecnici ed informatici, con specifico riguardo alle nuove indicazioni normative.
Il Regolamento stabilisce il principio di accountability, secondo il quale il titolare è investito dell’obbligo di impostare un sistema di tutela adeguato in tutti i settori di interesse, deve dimostrarne la conformità al Regolamento e rispondere dell’eventuale inadempienza.
QUALI OBBLIGHI?
PRIVACY BY DESIGN
PRIVACY BY DEFAULT
L’art. 25 del nuovo Regolamento impone al titolare di determinare ed applicare le misure tecniche e organizzative necessarie ad attuare i principi di protezione dei dati fin dalla progettazione, rendendo tale impostazione come predefinita.
REGISTRI DELLE ATTIVITÀ DI TRATTAMENTO
L’art. 30 impone ai titolari la redazione, la tenuta e l’ aggiornamento di un registro contenente le categorie, le attività e le finalità di trattamento, in aggiunta alle finalità alle misure di sicurezza attuate. Tale compito è connesso al principio di responsabilizzazione e all’adempimento degli obblighi di legge necessario per l’esonero da qualsivoglia forma di responsabilità.
VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI (DPIA)
L’art. 35 impone espressamente l’obbligo di effettuare una valutazione sull’impatto, qualora dal trattamento, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità, possano derivare rischi elevati per i diritti e le libertà delle persone fisiche.
SANZIONI
Ai sensi dell’ art. 83, la violazione delle disposizioni del Regolamento è soggetta a sanzioni amministrative pecuniarie fino a Euro 20.000.000, o fino al 4 % del fatturato annuo.
Il Responsabile
della protezione dei Dati (RPD)
In base all’articolo 37, la nomina di un RPD è obbligatoria per tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali.
I suoi compiti
Il RPD informa il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal GDPR e dalle altre disposizioni di Legge in tema di protezione dei dati.
Verifica che la normativa vigente e le policy interne del titolare siano attuate e applicate, forma il personale ed effettua i relativi audit.
Effettua la DPIA, e prevede il piano d’intervento in caso di violazione dei dati personali (cd. Data Breach).
Il RPD funge da interfaccia fra i soggetti coinvolti ma non risponde personalmente in caso di inosservanza del GDPR. Il Regolamento chiarisce che spetta al titolare del trattamento o al responsabile del trattamento garantire ed essere in grado di dimostrare che le operazioni di trattamento sono conformi alle disposizioni del Regolamento stesso (articolo 24, paragrafo 1). L’onere di assicurare il rispetto della normativa in materia di protezione dei dati ricade sul titolare del trattamento o sul responsabile del trattamento.