L’obiettivo.

Il regolamento ha come obiettivo quello di uniformare la legislazione in tema di protezione dei dati personali in tutto il territorio dell’Unione Europea, diversamente dalla precedente Direttiva CE 95/46, recepita dai singoli Stati Membri con la propria normativa nazionale (in Italia è attualmente recepita dal D.lgs. n. 196/03, ovvero il cd. Codice Privacy).
In forza del nuovo Regolamento, le organizzazioni dovranno affrontare la sfida di adeguare i propri processi interni affinché sia assicurata la compliance ai nuovi adempimenti richiesti dalla normativa privacy europea. Tale necessità non rappresenta solo un mero adempimento burocratico, ma è la dimostrazione al mercato e ai diversi stakeholder, che l’organizzazione dispone di un Modello Organizzativo Privacy idoneo a tutelare la riservatezza dei dati personali che sono oggetto di trattamento nell’ambito dei processi aziendali. E questo è proprio ciò a cui si deve mirare: fare della compliance Privacy una leva di vantaggio competitivo nei confronti dei concorrenti.

Il Regolamento UE 679/16, pur facendo salve le linee guida introdotte dalla Direttiva CE 95/46 in materia di protezione dei dati personali, introduce importanti novità e regole più chiare in tema di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti (diritto all’oblio e diritto alla portabilità del dato), stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’UE e per i casi di violazione dei dati personali (il cd. data breach), introduce il concetto di “accountability” e la nuova figura del Data Protection Officer(o DPO).

Cosa c’è da Sapere.

– Adempimento al nuovo GDPR
Creazione di un Sistema di Gestione per la Protezione dei Dati – Regolamento Europeo in materia di protezione dei dati personali (2016/679) – che coinvolge, oltre all’Italia, ogni Paese all’interno dell’area europea. Miriamo all’adempimento di tutti gli obblighi in materia di privacy e sicurezza dei dati, nello specifico, guidare i nostri clienti interessati al passaggio dal D.Lgs.196/2003 – che verrà abrogato il 25 maggio 2018 – alla nuova Norma Europe della Privacy

– Adempimento degli Obblighi
Il nostro intervento è mirato all’adempimento di tutti gli obblighi in materia di privacy e sicurezza dei dati, nello specifico, guidare i nostri clienti interessati al passaggio dal D.Lgs.196/2003 (che verrà abrogato il 25 maggio 2018) alla nuova Norma Europe della Privacy, dando ogni informativa utile, onde evitare le gravi sanzioni previste dalla nuova normativa. Così si garantisce il diritto fondamentale alla protezione dei dati personali, anche in forma digitale.
In particolare, nella stesura di lettere, di informative e del Documento per la Sicurezza dei dati, rischi di perdita di dati, accesso non autorizzato e trattamento non conforme, indicando le linee guida da seguire, per eliminare ogni rischio di violazione delle norme e delle regole comunitarie, che potrà essere sanzionata dall’autorità competente.

Per questo fine prevediamo di:

  • Censire la tipologia standard di dati trattati, i flussi di trattamento interni ed esterni, le strutture coinvolte, i rischi e le misure di sicurezza adottate (con la fondamentale assistenza del settore IT), eventuali notificazioni ex art. 37 d.lgs. 196/03 al Garante per la protezione dei dati personali;
  • Esaminare il rispetto delle condizioni di liceità e dei principi del trattamento;
  • Analizzare l’allocazione dei ruoli “attivi” di trattamento (eventuali contitolari, responsabili e sub-responsabili), la designazione (ove dovuta) degli amministratori di sistema (e i complessivi adempimenti), le istruzioni e la formazione al personale dipendente della società;
  • Valutare l’attività di trattamento svolta da collaboratori esterni;
  • Esaminare le procedure interne per la gestione dei diritti dell’interessato, le procedure di accertamento e scoperta di data breach, la gestione della posta elettronica e Internet in dotazione a dipendenti e collaboratori, oltre ai software in uso;
  • Esaminare i profili giuslavoristici nella misura in cui sono richiamati dal Garante per la protezione dei dati personali, in particolare con riferimento ai controlli datoriali sull’attività lavorativa;
  • Considerare eventuali contratti per il marketing (nella misura in cui riguardino la normativa sulla protezione dei dati personali) ed eventuale gestione di newsletter;
  • Valutare (nei limiti dell’attività oggetto di preventivo) anche le lettere di assunzione del personale, le diciture sui contratti per i fornitori;

Dopo la prima fase di adempimenti 81hse.com propone un’assistenza annua su misura in funzione delle esigenze aziendali, con aggiornamenti tecnico-legislativi e incontri per tenere sempre la situazione sotto controllo e aggiornare periodicamente il Documento Programmatico della Sicurezza dei dati.

Il Nostro Intervento:

  • Revisione del documento programmatico per la sicurezza in Vostro possesso in base ai cambiamenti tecnici e operativi attuati dalla Vostra struttura nonché ai cambiamenti legislativi;
  • Revisione del documento programmatico per la sicurezza in Vostro possesso in base ai cambiamenti tecnici e operativi attuati dalla Vostra struttura nonché ai cambiamenti legislativi;
  • Relazione accompagnatoria del bilancio d’esercizio;
  • Information auditing;
  • Assistenza telefonica;
  • Gestione dei rapporti con gli enti di controllo;
  • Aggiornamento normativo in materia di privacy;
  • Accesso tramite username e password dal nostro sito ad un archivio elettronico riservato online che permette di verificare in tempo reale l’ultima versione dei documenti e loro allegati e di avere accesso ad aggiornamenti normativi e tecnici;

Interventi Tecnici:

  • Stesura Regolamento per amministrazioni pubbliche;
  • Integrazione documentale degli adempimenti al Sistema di Gestione Qualità già esistente;
  • Check-up informatico;

Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile professionale della protezione dei dati, che sia a conoscenza della normativa in materia di dati sensibili e abbia le competenze per svolgere il suo ruolo, così come stabilito dalla legge. Può anche avvalersi di consulenti e professionisti in possesso di titolo idoneo, che potranno essere inseriti nella struttura.
Il responsabile nominato deve assicurare la compliance al diritto, dando la giusta informativa in merito. Potrà nominare uno o più responsabili a tutela dell’osservanza del codice sulla privacy.

Deve essere individuato un DPO nei seguenti casi:

  • Il Trattamento è effettuato da autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  • Le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • Le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10;

Nomina del PDO

  • Individuare un DPO (Data Protection officer) scelto tra i dipendenti o anche esterno all’impresa, su designazione di chi ha la governance e il management (o l’amministratore) delle società o delle pubbliche amministrazioni;
  • Informare e fornire consulenza al titolare del trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’unione o degli Stati membri relative alla protezione dei dati; potrà individuare le linee guida da seguire, nel rispetto della direttiva comunitaria in vigore e del GDPR e indicare la prassi utile da adottare;
  • Sorvegliare l’osservanza obbligatoria del regolamento di altre disposizioni dell’unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  • Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
  • Cooperare con l’autorità di controllo e con chi ha l’amministrazione delle aziende e dei relativi business;
  • Fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;

Termini e Definizioni.

Informativa – Trasparenza dei Dati

Fondata sul concetto di trasparenza dei diritti in carico agli interessati, in particolare nel caso in cui i dati siano oggetto di trasmissione in Paesi extraeuropei e nel caso di esercizio del diritto di revocare il consenso a determinati trattamenti.

Le organizzazioni devono comunicare in modo chiaro, semplice e immediato il verificarsi di violazioni dei dati personali all’Autorità Garante della Privacy e, nel caso in cui la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, anche agli interessati coinvolti.

Deve essere preventivo e inequivocabile, anche quando espresso attraverso mezzi informatici e nel caso di trattamento di dati sensibili, deve essere anche esplicitamente prestato, pertanto non è ammesso il consenso tacito.

Adozione delle politiche che tengano conto del rischio che i dati personali possono comportare per i diritti e le libertà degli interessati, al fine di garantirli, adottando comportamenti per prevenire problematiche e minimizzare l’utilizzo al fine di raggiungere le finalità prescritte.

Il Data Protection Officer (o DPO) è la nuova figura di “Responsabile della protezione dei dati”, incaricato di assicurare una gestione corretta dei dati personali nelle organizzazioni.