25 maggio 2018, da questa data il Nuovo Regolamento Europeo sulla tutela dei dati personali (GDPR 679/16) che ha sostituito il Codice della Privacy (D.Lgs. 196/03).

Attenzione agli ultimi importanti aggiornamenti da parte del Garante Italiano per la protezione dei dati e dei nostri consulenti in materia di GDPR: 

1. CYBER SECURITY – Attenzione alle truffe via PEC
2. Newsletter del Garante Italiano per la protezione dei dati 
3. Significativo provvedimento sanzionatori in Grecia 
4. Le azioni del Garante negli altri paesi 

Meglio prepararsi da subito alle eventuali modifiche organizzative e tecnologiche necessarie.

Cosa devono fare le imprese per adeguarsi alla normativa? Formalmente sarà necessaria una revisione della documentazione privacy (le nuove informative e le nuove lettere di incarico dovranno tenere conto degli articoli e dei requisiti della nuova norma europea), sostanzialmente diventa indispensabile un cambio di mentalità.

Se finora, nella maggior parte dei casi, era sufficiente aderire alle misure minime esposte nell’allegato B della normativa italiana, adesso non ci sono più prescrizioni specifiche in questo senso. Le imprese dovranno fare tutto quanto sia nelle loro possibilità per tutelare i dati personali di clienti, dipendenti, fornitori e chiunque a vario titolo interagisca con la loro attività.

È il principio dell’”accountability”, cioè della “responsabilizzazione” delle imprese. In sostanza è la mentalità che dovrà cambiare: se prima al centro della privacy c’erano i dati, adesso c’è la persona. Questo vuol dire che quando si trattano dati personali di chiunque operi dentro e fuori l’azienda la prima domanda da porsi è “cosa succede all’interessato nel caso in cui i dati vengano persi, trafugati o danneggiati?” e poi “Cosa succede al Titolare in caso di violazione?”.

Dalle risposte che vengono date, con l’ausilio di esperti, si provvede ad adottare misure di sicurezza adeguate; tutto questo processo deve essere documentato. Un ulteriore cambiamento in questo senso riguarda il principio della “Privacy by design”: qualunque progetto di prodotto, servizio, strumento deve essere concepito partendo dall’impatto sulla tutela dei dati personali, quindi anche un sito web ad esempio deve essere progettato partendo dall’esame dei rischi per tutti i soggetti coinvolti dal suo utilizzo.

La “Privacy by default” è invece il nuovo principio secondo cui ogni azione in azienda, dalla produzione all’amministrazione, dal personale al marketing deve essere eseguita e gestita partendo dalla tutela dei dati trattati. Le imprese, anche quelle piccole, devono dunque avviare un processo di analisi che non può essere standard: ogni attività ha una sua storia, un suo modo di gestire dati e procedure, perciò occorre ripensare i flussi di informazioni e individuare le vulnerabilità.

Con il nuovo orientamento viene meno il pensiero secondo cui vi sono dati importanti e dati meno importanti ed entra in gioco il principio di tutela dell’individuo. Sottovalutare questo passaggio potrebbe esporre a gravi rischi poiché le sanzioni, non sono più definite nel minimo ma solo nel massimo, variano a seconda di diversi fattori fra cui l’importanza dei dati trattati, l’estensione del numero di interessati, l’adozione di misure adeguate, gli importi sono assai elevati e il tempo a disposizione è sempre meno: ridursi alle ultime settimane potrebbe diventare costoso.

L’importanza del Registro dei Trattamenti soprattutto per le imprese che hanno anche solo un dipendente devono provvedere a redarre tale documento. A tal proposito il Garante Italiano nelle faq del’8 ottobre 2018   (https://www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento) ha espresso sul tema il suo parere vincolante: sono tenute all’obbligo del registro anche le imprese con un solo dipendente […]
“– esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
– liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);“.

Per saperne di più alcuni documenti utili da consultare:

1. Il vademecum per le micro e piccole imprese 
2. Scarica la guida del Garante della Privacy 
3. Scheda degli adempimenti per le aziende e gli enti.
4. Scarica la FAQ del Garante Italiano sul Registro dei Trattamenti 
5. Trattamento dei dati personali in ambito sanitario chiarimenti del Garante 

Per ulteriori informazioni contattate la Segreteria tel. 0141/596.201.