Il nuovo contesto normativo
Il 25.05.2016 è entrato in vigore il Regolamento UE 2016/679 relativo alla protezione e alla libera circolazione dei dati personali (GDPR) che abroga la direttiva 95/46/CE da cui deriva il D. Lgs. 196/03 (Codice privacy) attualmente in vigore.
Il GDPR sarà direttamente applicabile in tutti gli Stati membri a partire dal 25.05.2018, senza necessità di interventi legislativi nazionali di recepimento.L’ambito di applicazione
Il GDPR si applica a tutti i trattamenti di dati personali, automatizzati e non; il termine ultimo entro il quale è necessario aver completato il processo di implementazione è il 25 maggio 2018.
Per quanto riguarda l’ambito di applicazione territoriale, il GDPR si applica al trattamento dei dati personali effettuato da parte di un Titolare o di un Responsabile stabilito all’interno UE, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’UE, ma anche al trattamento dei dati personali di Interessati che si trovano nell’UE, effettuato da un Titolare o da un Responsabile che non è stabilito nell’UE, ove ricorrano particolari circostanze.
Il GDPR, infine, si applica anche ai trattamenti dei dati personali effettuato da un Titolare che non è stabilito nell’UE, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.
I rischi per Titolari e Responsabili
Alla luce della nuova normativa le imprese sono esposti a rischi quali ad esempio:
- l’incremento della consapevolezza legale da parte degli Interessati, con conseguente maggior rischio di contestazioni: risulta quindi necessario – a prescindere dalla fondatezza della contestazione – essere in grado di “gestirla” adeguatamente e tempestivamente;
- il possibile aumento di reclami avanti all’Autorità di Controllo (potenzialmente in tutta Europa) volte ad infliggere sanzioni;
- il possibile aumento azioni legali volte ad ottenere risarcimenti del danno (patrimoniali e non).
Tali rischi comportano:
- la necessità di rivedere le procedure esistenti o di adottarne di nuove;
- l’inevitabile investimento in termini finanziari e di risorse per l’adeguamento alla normativa;
- la necessità di definire ed implementare nuove “best practices” per essere in grado di fornire riscontro adeguato e tempestivo alle richieste provenienti dal mercato, dagli interessati, o dagli enti regolatori;
Il nostro servizio Privacy Impact Assessment
Il privacy impact assessment (Documento di valutazione d’impatto nel trattamento dei dati) consiste in un documento nel quale considerare quali dati verranno trattati, quali sono i rischi concreti dati dall’utilizzo di tali dati e quali cautele possono essere messe in atto per prevenire e risolvere tali criticità.Il documento comprende una lista di potenziali rischi o criticità ed un programma per la loro gestione e risoluzione.Il servizio Privacy Impact Assessment offerto da Lauricella Sicurezza Informatica consiste in uno screening iniziale ed una gestione sviluppata nei seguenti punti:
- Un analisi delle informazioni personali mappate sui processi aziendali e sugli asset tecnologici; – una misurazione e registrazione dello stato di conformità con gli articoli del GDPR;
- l’analisi del rischio intrinseco e del rischio residuo;
- realizzazione della procedura per la registrazione degli incidenti (data breach) con impatti sui dati personali;
- valutazione delle azioni derivanti da eventuali non conformità o incidenti con rappresentazione delle decisioni relative all’accettazione o al trattamento dei rischi che possono essere portate come evidenze in caso di audit da parte delle autorità preposte;
- valutazione delle informative e consensi;
- predisposizione della modulistica.
Il servizio Privacy Impact Assessment non comprende le seguenti attività accessorie:
- redazione di pareri legali scritti ed analisi specifica di informative e consensi;
- assistenza, difesa e rappresentanza in giudizio o avanti il Garante o altre Autorità;
- attività di messa a norma rispetto al Codice Privacy e/o al GDPR (da valutare eventualmente successivamente allo screening iniziale);
- Software, hardware ed attività tecnica per la gestione della compliance al GDPR e comunque ogni altra attività non espressamente inclusa nelle attività previste;
- Nomina del Responsabile per la Protezione dei Dati RDP-DPO (data protection officer), da valutare successivamente allo screening iniziale.