Il GDPR, nuova normativa sulla privacy 2018, è l’insieme delle nuove normative Europee che regolano il trattamento dei dai personali da parte di aziende e gestori.
Tale regolamento racchiude tutte le procedure a cui le aziende devono adeguarsi in materia privacy.
Cos’è il GDPR?
Il GDPR, la normativa privacy, è uno degli argomenti più delicati che le aziende devono affrontare quando parlano di clienti e dei loro dati.
Quante volte noi stessi abbiamo ricevuto mail o comunicazioni che non sapevamo di aver acconsentito? Quante volte abbiamo pensato che un certo comportamento avesse invaso la nostra sfera quotidiana?
Il tema è chiaro, ed oggi siamo difronte ad una svolta del sistema privacy che vuole migliorare le sue performance e garantire livelli più alti di sicurezza!
Il Regolamento Europeo n. 679/2016 sulla protezione dei dati personali, noto come GDPR (General Data Protection Regulation), è entrato in vigore il 24 maggio 2016, e diverrà direttamente applicabile dal 25 maggio 2018 (termine ultimo di adeguamento), abrogando la Direttiva 95/46/CE.
Il GDPR ribalta completamente la disciplina sulla privacy, incentrando il quadro normativo sulla responsabilizzazione del Titolare del trattamento (“accountability”), che dovrebbe essere in grado di dimostrare la propria conformità al Regolamento attraverso l’adozione di misure tecniche ed organizzative.
Principi chiave rimangono la liceità del trattamento, possibile solo se l’interessato ha espresso un esplicito consenso, oltre che di proporzionalità, adeguatezza, pertinenza e non eccedenza dei dati rispetto alle finalità per cui vengono trattati.
Particolare rilevanza assumono, quindi, i diritti dell’interessato (Informativa sul trattamento; indicazioni sulla finalità del trattamento; eventuali destinatari/utilizzatori dei dati; il periodo di conservazione dei dati, la rettifica o cancellazione degli stessi; accesso ai dati; portabilità dei dati;diritto di opposizione).
Come adeguarsi alla nuova normativa GDPR privacy 2018?
Al fine di fornire una prima risposta agli orientamenti del Garante, le IMPRESE, in base alla propria complessità organizzativa, devono avviare con assoluta priorità:
- l’eventuale designazione del DPO (Data Protection Officer)
- l’istituzione del Registro delle attività di trattamento
- la procedura per la notifica delle violazioni dei dati personali (data breach)
- la valutazione d’impatto da violazioni (DPIA – Data Protection Impact Assessment).
Occorre poi l’adozione di un Sistema di Governance della Privacy strutturato, in grado di garantire una gestione efficace ed efficiente dei requisiti normativi in ottica di continuo miglioramento.
L’implementazione di un Sistema di Governance di questo tipo dovrà essere basata almeno su tre fasi operative:
- La prima fase di GDPR – Assessment comprende un Privacy Assessment per effettuare, in particolare, una mappatura dei trattamenti e dei ruoli, al fine di ottemperare alle disposizioni previste dal GDPR, progettare l’implementazione di un Sistema di Governance della Privacy strutturato in grado di accrescere il livello di protezione dei dati, con riguardo alle categorie di dati particolari.
Le informazioni da rilevare riguardano le finalità dei trattamenti, le categorie degli interessati, le categorie di dati trattati, i destinatari di comunicazione di dati, i termini ultimi previsti per la cancellazione delle diverse categorie di dati, i trattamenti in cui i dati sono comunicati a destinatari di Paesi terzi ovvero di organizzazioni internazionali, i ruoli e responsabilità per i trattamenti e le misure di sicurezza tecniche/organizzative adottate per la protezione dei dati.
Tali informazioni costituiscono le basi per il documento “Registro delle attività dei trattamenti di dati personali”,che costituirà l’elenco aggiornato di tutti i trattamenti effettuati dall’Organizzazione.
- Nella seconda fase di GDPR – Design si procederà, sulla base delle informazioni acquisite nella precedente fase, a definire il Modello Organizzativo Privacy con l’individuazione delle figure coinvolte nel trattamento dei dati (Titolare, Contitolare, DPO, Responsabili, ecc..) e dei relativi ruoli e responsabilità nonché a disegnare i processi di Privacy by design e by default, Privacy Impact Assessment e Notifica dei Data Breach. Nel disegnare detti processi si valuteranno anche le tecnologie ed i servizi Cyber Security a supporto. Si pensi al riguardo ai servizi di sicurezza gestiti, ivi compresi quelli di Threat Intelligence volti ad assicurare una corretta e tempestiva notifica proprio dei Data Breach.
In particolare, il GDPR disciplina l’obbligo di assicurare che le misure adottate attuino efficacemente i principi di privacy by design (protezione dei dati fin dalla progettazione) e privacy by default (impostazione predefinita che preveda il trattamento dei soli dati necessari al perseguimento delle finalità dichiarate).
Il GDPR prevede un approccio risk based. È necessario effettuare un Privacy Impact Assessment, ovvero una valutazione dei rischi per i trattamenti previsti. L’implementazione delle misure di sicurezza adottate terrà conto dell’analisi dei rischi e dei costi di attuazione, per organizzazioni anche complesse ed eventualmente armonizzato con il processo di Risk Management, se esistente.
Gli obblighi di notifica, salvo le esclusioni di legge, seguente a data breach vengono estesi a qualsiasi caso in cui vi sia violazione dei dati personali, con l’obbligo di darne comunicazione all’interessato, salvo limitazioni, nel caso in cui vi sia rischio elevato per i diritti e le libertà dello stesso.
- Per ottemperare alla terza fase – GDPR – Implementation & Data Protection Management – occorre predisporre servizi per:
- Esecuzione Privacy Impact Assessment e definizione Piani di trattamento del rischio;
- Gestione e manutenzione delle procedure di data protection;
- Attività del DPO e dei responsabili del trattamento;
- Esecuzione Audit privacy;
- Esecuzione Privacy Impact Assessment e definizione Piani di trattamento del rischio;
- Erogazione servizi di sicurezza gestiti, di Threat Intelligence e di sicurezza applicativa volti a garantire il rispetto delle misure di sicurezza prescritti dall’art. 32 del GDPR;
Mappati i trattamenti ed i flussi di dati, definita la struttura organizzativa per la protezione dei dati, identificati i processi e le policy, occorre infine gestire in via continuativa il sistema di protezione e gli obblighi di protezione, attraverso la revisione periodica dei processi privacy e delle procedure.
E’ necessaria l’attivazione di un processo di verifica, denominato anche di Audit, degli adempimenti relativi al nuovo GDPR con particolare attenzione alla verifica di tutte le misure tecniche ed organizzative adottate, inclusa la documentazione, le registrazioni da conservare a prova del rispetto e dell’applicazione del principio di “accountability” del titolare e dei responsabili.
L’adeguamento PRIVACY dipende ovviamente dalla complessità della singola organizzazione (tipologia dati trattati, mercato di riferimento nazionale o estero, dimensioni, etc..).
Le sanzioni del mancato aggiornamento alla normativa sulla privacy 2018
Le sanzioni in caso di mancato adeguamento sono pesantissime e partono dal 2 per arrivare fino al 4% del fatturato.
Exceed da tempo ha predisposto al suo interno una division che si occupa esclusivamente della compliance aziendale.
Il nostro team di legali ha già svolto parecchie attività di Privacy audit per la nuova normativa 2018.
Exceed è in grado di aiutare l’impresa nell’aggiornamento necessario per la nuova normativa privacy al fine di evitare le pesantissime sanzioni.
Contattaci subito per una consulenza gratuita da parte di un nostro esperto GDPR!
Sei in procinto di creare un sito web o un sito ecommerce o hai bisogno di aggiornare la privacy della tua azienda? Scopri subito sul nostro shop le nostre soluzioni.