Privacy - Regolamento Generale sulla Protezione dei Dati (GDPR)
Dal 25 maggio 2018 le imprese di ogni dimensione dovranno adeguarsi al GDPR, il nuovo Regolamento UE sulla protezione dei dati personali che introduce specifici adempimenti, figure ad hoc (DPO) e obblighi di formazione privacy in capo a tutti i Titolari e Responsabili del Trattamento, dei dipendenti che eseguono il trattamento e di chiunque abbia accesso ai dati personali.
Si tratta del nuovo Regolamento Generale sulla Protezione dei Dati, ossia un insieme di norme e linee guida che tutte le realtà professionali dovranno rispettare con l’obiettivo di rendere omogenee e rafforzare le modalità di trattamento dei dati personali nella UE.
L’obbligo di osservanza delle direttive è imposto anche alle imprese con sede legale al di fuori del territorio europeo ma che, nella loro attività, si trovano a gestire o trattare dati personali di chi risiede nello spazio
Le ultime notizie in materia Privacy
Richiedi maggiori informazioni, prenota la tua consulenze e un sopralluogo per adeguare la tua situazione!
Prenotazioni e informazioni: tel: 334 9671275
email: sicurezza@formazionearmonia.com
Le nostre “soluzioni COMPLIANCE”
- Capiamo insieme la vostra situazione, gli adempimenti per voi obbligatori, i punti deboli della vostra struttura privacy, il flusso delle informazioni
- Programmiamo in base ai vostri desideri gli adeguamenti che gradualmente vi porteranno a lavorare sereni
Le nostre “soluzioni FORMAZIONE”
- Formazione aziendale: portiamo un esperto in materia di privacy nella vostra realtà, per una formazione concreta e personalizzata alle vostre esigenze
- Formazione in aula: organizziamo periodicamente della formazione, per poter confrontarsi con un consulente esperto e portare ad esempio il proprio caso o problematica
- Formazione e-learning: per tutti i lavoratori o datori di lavoro, veloce e pratica, sempre attiva per venire incontro alla vostra disponibilità di tempo
Obbligo di formazione
Gli obblighi formativi sono introdotti in particolare dall’art. 39.1.b del GDPR, il quale prevede, tra i compiti del Data Protection Officer (DPO o Privacy Officer), quello di:
[…] sorvegliare l’osservanza […] delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi […] la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.
Mentre l’art. 32.4 del Regolamento dispone che:
“ […] chiunque abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento […]”.
Piano di formazione privacy
Il Data Protection Officer deve:
informare […] i dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal […] regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati.
Inoltre, deve concordare annualmente con il Titolare del Trattamento e con il Responsabile del Trattamento un piano di formazione privacy, che preveda corsi periodici per tutto il personale incaricato al trattamento di dati personali. I piani devono:
• essere approvati dal Titolare e dal Responsabile del Trattamento;
• poter essere svolti anche in modalità e-learning;
• prevedere un test finale di apprendimento.
Sanzioni
In caso di violazione degli obblighi di formazione privacy sono previste sanzioni amministrative pecuniarie per il Titolare e per il Responsabile del Trattamento, fino a 10.000.000 di euro e fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente (ove superiore).
Conformità al GDPR: cosa fare?
Innanzitutto, il regolamento prevede che ogni azienda nomini un Responsabile della Protezione dei Dati (RPD) – nel Regolamento indicato come Data Protection Officer (DPO) – adeguatamente formato per assolvere al compito nel migliore dei modi e a cui spetta l’incarico di fornire informazioni relative alla propria attività ai diretti interessati, siano essi i collaboratori della società, i fornitori oppure i clienti.
Il presupposto di base per un trattamento dei dati personali a norma di legge, infatti, è che l’azienda-titolare del trattamento ne abbia ottenuto il consenso libero, specifico ed informato. Ecco perché il GDPR detta specifiche linee guida al fine di garantire questo fondamentale passaggio, dettagliando quali tipologie di informazioni minime è necessario offrire al soggetto al fine di ottenere il suo consenso al trattamento.
Divise in sei categorie, si tratta di: identità del titolare; scopo delle operazioni di trattamento per le quali è richiesto il consenso; tipo di dati raccolti e trattati; esistenza del diritto di revoca del consenso; uso dei dati per le decisioni basate su elaborazione automatica (inclusa profilazione); nel caso di trasferimento verso paesi terzi, possibili rischi in assenza di garanzie e scelte appropriate.
È poi necessario procedere alla tutela dei dati mediante impiego di crittografia, così da renderli non fruibili a soggetti non autorizzati. Bisogna inoltre garantire che, in seguito a un eventuale problema di natura fisica o tecnica, l’accesso alle informazioni venga ristabilito in modo tempestivo.
Il GDPR introduce infatti il principio di accountability per tutte le fasi del trattamento. Questo significa adottare soluzioni e strumenti che garantiscano non soltanto la protezione del dato ma anche il controllo, la verifica e l’analisi delle procedure.
Nel caso di una fuga di dati, che si può verificare tramite manomissione, attacco esterno o in modo accidentale, è poi obbligatorio darne avviso tempestivo (entro 72 ore dall’identificazione del problema) all’autorità garante. Eventuali ritardi andranno giustificati.
Per le realtà professionali che contano più di 250 dipendenti vige infine l’obbligo di redigere un registro delle attività con i dettagli sulle policy aziendali attuate in materia di privacy, sulle procedure adottate e sugli standard di sicurezza vantati.
GDPR compliant: come diventarlo?
Tecnicamente, il primo passo è sostituire le soluzioni di archiviazione locale dei dati con sistemi che centralizzino sia la gestione delle autorizzazioni sia l’accesso ai dati. In altre parole, non sarà più possibile conservare i file esclusivamente su un computer o un disco locale, bensì sarà bene optare per una più avanzata e affidabile soluzione di storage e backup: i sistemi cloud costituiscono a tal fine una delle migliori alternative disponibili, grazie anche (ma non solo) alla ridondanza dei sistemi impiegati.