Il Regolamento Europeo 679/2016 GDPR ha introdotto novità per le imprese ed i cittadini, specificando anche nuovi obblighi e diritti.

Tutte le Aziende all’interno dell’unione Europea che trattano dati personali devono essere conformi al Regolamento Europeo 679/2016 GDPR. La stessa cosa vale anche per le imprese che hanno sede al di fuori dell’UE, ma che operano all’interno della Comunità Europea.

Cosa s’intende per dato personale nel nuovo Regolamento Europeo 679/2016?

Secondo il GDPR, un dato personale è una qualsiasi informazione riconducibile ad un individuo, come il nome ed il cognome, i dati anagrafici, i dati biometrici ottenuti dalle caratteristiche fisiche, fisiologiche o comportamentali di un individuo, nonché la firma autografa (dati dattiloscopici).

I dati sensibili invece, secondo quanto stabilito dal nuovo Regolamento Europeo 679/2016 GDPR, se trattati meritano una specifica protezione. In questa categoria rientrano quei dati che per loro natura possono creare rischi significativi per i diritti e le libertà degli individui, come l’origine razziale ad esempio.

Quali sono le responsabilità?

Secondo quanto previsto dal Regolamento Europeo 679/2016 GDPR, le Aziende che trattano dati personali dovranno adottare misure tecniche ed organizzative adeguate al trattamento dei dati personali, quali ad esempio:

  • Richiedere un consenso esplicito al trattamento dei dati
  • Informare gli interessati sulle finalità del trattamento nonché per quanto tempo i dati personali saranno trattati (durata).
  • Rispondere agli interessati in merito alle modalità di trattamento, nonché provvedere all’aggiornamento o cancellazione dei dati se richiesto.
  • Prevedere la possibilità di opposizione al trattamento dei dati per finalità di profilazione o marketing.
  • Comunicare all’autorità di controllo (Garante Privacy) eventuali violazioni (Data Breach) entro 72 ore dall’accertamento della violazione.

Quali nuove figure professionali sono previste?

L’RDP-DPO (Responsabile sulla Protezione dei Dati chiamato anche Data Protection Officer) è una figura prevista dall’art. 37, designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento. Coopera con l’Autorità e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39).
In ambito privato viene designato solo in determinati casi specifici previsti dall’art. 37, par. 1, lett. b) e c),  come il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati.

Sono specificatamente esclusi dalla designazione dell’DPO: liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti. 

Cosa occorre fare per adempiere al Regolamento Europeo 679/2016 GDPR?

Per poter aderire alla nuova normativa occorre adottare una serie di misure tecnico/organizzative adeguate.
Una valutazione d’impatto sulla Privacy permette di capire come sono trattati attualmente i dati individuando i rischi inerenti il trattamento.
Da questa valutazione, chiamata anche “Data Protection Impact Assessment” o “Privacy Impact Assessment”, vengono identificati i punti d’intervento necessari a compensare le richieste del GDPR.

La valutazione d’impatto (DPIA Data Protection Impact Assessment) è obbligatoria solo nel caso in cui il trattamento presenta un rischio elevato per i diritti e le libertà delle persone fisiche (articolo 35, paragrafo 3). In tutti gli altri casi è utile svolgerla, ma occorre contestualizzarla alla realtà operativa dell’azienda.
Le linee guida del gruppo di lavoro “Articolo 29” forniscono alcuni esempi in merito alla valutazione d’impatto, quando è necessaria e quando non lo è.

Il registro delle operazioni di trattamento è obbligatorio solo per aziende ed enti con più di 250 dipendenti oppure nel caso in cui si effettuino dei trattamenti a rischio (art. 30, paragrafo 5).
La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali.
Seppur in molti casi non rappresenti un adempimento formale, le linee guida redatte dal gruppo di lavoro “Articolo 29” consigliano di compiere i passi necessari per dotarsi di tale registro.

Come possiamo aiutarti?

Le misure di sicurezza imposte dal Regolamento Europeo 679/2016 GDPR riguardano tutti i processi aziendali e non solo quelli strettamente legati all’IT.

Per tale motivo Lauricella Sicurezza Informatica a Treviglio (Bergamo) supporta i clienti in tutte le fasi del GDPR, dall’analisi dei rischi alla definizione di un piano d’intervento tecnico e di assistenza in merito agli aggiornamenti normativi.
La sicurezza delle rete informatica, di computer e server, unita ad una corretta gestione ed ottimizzate di backup e disaster recovery, sono alcuni degli aspetti tecnici principali per garantire la sicurezza dei dati nel contesto del GDPR.

Contattateci per maggiori informazioni.

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi