Nuovo Regolamento Europeo sulla Protezione dei Dati Personali
Cosa cambia?
- Maggiori obblighi e responsabilità per il Titolare e per il Responsabile del Trattamento dei dati.
- Maggiore trasparenza, semplicità e chiarezza nelle informative.
- Istituzione del registro dei trattamento dei dati.
- Necessità di analisi e valutazione dei rischi.
- Necessità, in alcuni casi, di effettuare la valutazione di impatto.
- Necessità di nomina, in alcuni casi, del Responsabile della Protezione dei dati (DPO).
- Obbligo di formazione per il Responsabile del Trattamento e per tutti coloro che hanno accesso ai dati personali.
- Nuovi diritti a favore delle persone sottoposte al Trattamento.
- Uniformità nella Unione Europea delle sanzioni e loro inasprimento.
Cosa occorre fare?
- Analizzare tutte le categorie di dati trattati e i relativi profili di rischio: in ogni azienda devono essere individuati tutti i trattamenti dei dati personali, le modalità con cui si effettuano, gli strumenti informatici (software e hardware) che vengono utilizzati, le persone “Autorizzate” al trattamento e la loro formazione.
- Valutare i rischi presenti relativi a possibili violazioni dei dati personali trattati.
- Individuare le soluzioni organizzative e tecnico-informatiche; siamo sempre più esposti a violazioni dei nostri sistemi informatici pertanto è necessario dotarsi di sistemi di protezione dei dati personali trattati costantemente aggiornati ma più in generale di tutti i dati della propria azienda in quanto ne costituiscono parte importante del suo patrimonio.
- Definire procedure di gestione dei dati adeguate alla propria realtà aziendale: per evitare che “passato il primo momento” si perda di vista l’importanza della tutela dei dati personali, le procedure interne consentono alla “funzione” relativa trattamento dei dati personali di integrarsi ed inserirsi nel più ampio sistema della organizzazione aziendale, diventando così parte di tutte le attività quotidiane di normale gestione di una azienda.
- Predisporre informative specifiche in sostituzione di quelle generiche: in base ad ogni tipologia di trattamento dei dati occorrerà elaborare una informativa specifica che conterrà solo le informazioni ad esso relative.
- Individuare i casi in cui oltre alla consegna della informativa, è necessario richiedere il consenso esplicito dalle persone interessate.
- Predisporre il registro dei trattamenti dei dati (sia come titolare del trattamento sia come Responsabile del trattamento): l’istituzione e l’aggiornamento di questo registro sono fondamentali in quanto base di partenza delle analisi dei dati trattati e della gestione degli stessi per l’individuazione delle criticità e quindi delle misure per superarle.
- Individuare e nominare con specifico atto giuridico ciascun Responsabile del trattamento presente: questo perché il titolare del trattamento è tenuto a vigliare sul rispetto delle disposizioni in materia di tutela dei dati personali da parte dei soggetti, in genere gli erogatori di servizi, a cui comunica i dati personali in suo possesso.
- Individuare e designare quali soggetti “Autorizzati” al trattamento tutti i lavoratori incaricati al tale attività: questo serve per definire quali sono le figure a cui assegnare specifici incarichi in materia di protezione dei dati personali.
- Formare i lavoratori “Autorizzati” al trattamento: questa è una attività fondamentale per dare loro consapevolezza delle responsabilità e della delicatezza degli incarichi assunti.
- Adottare tutte le misure (organizzative, procedurali e tecnico-informatiche) per ottenere una adeguata gestione della riservatezza dei dati trattati: questa è la fase della esecuzione di quanto precedentemente individuato. Questa fase è importante ma non conclude gli obblighi in quanto occorrerà successivamente organizzare un costante monitoraggio delle attività suindicate al fine di valutarne la costante adeguatezza alla propria realtà aziendale e soprattutto alle sue evoluzioni e cambiamenti.
- Rimanere aggiornati sulle evoluzioni della normativa e sulle sue interpretazioni.
Quali benefici sono apportati dalla riforma?
- 1. Semplificazioni burocratiche: non è richiesto nessun documento programmatico .
- 2. Effettività della tutela: il regolamento è orientato ad avere protezione dei dati nei fatti e non “sulla carta”.
- 3. Maggiori tutele per le persone: che viene ottenuta anche attraverso l’introduzione di nuovi diritti e tutele.
- 4. Maggiore efficienza nella gestione aziendale: una corretta attività di prevenzione evita l’enorme dispersione di tempi e di costi in caso di problemi come i controlli dell’autorità, le contestazioni dei singoli, le richieste dei clienti, le azioni risarcitorie, i danni alle apparecchiature informatiche, la perdita dei propri archivi, ecc.
- 5. Maggiore protezione dei dati aziendali: è un vantaggio “indiretto” in quanto le misure a protezione dei dati personali spesso si estendono automaticamente a tanti altri dati presenti in azienda.
Quali conseguenze in caso di mancato adeguamento?
- 1. Importanti sanzioni che variano in riferimento al tipo di violazione ma che possono arrivare, nei casi più gravi, in quota % del fatturato annuo.
- 2. Possibili azioni legali di risarcimento da parte delle persone che hanno subito il trattamento illegittimo dei propri dati.
- 3. Rischio di perdita di dati aziendali importanti.