CIRCOLARE N. 137 – Regolamento (UE) 2016/679 – Regolamento generale sulla protezione dei dati personali
Gentile Cliente,
In data 4 maggio 2016 sulla Gazzetta Ufficiale Europea (GUUE) è stato pubblicato il Reg.(UE) 2016/679 (detto – Regolamento generale sulla protezione dei dati personali), il testo dovrà essere recepito in Italia con entrata in vigore entro il 25 maggio 2018
La norma europea porterà delle modifiche all’attuale assetto, diventando il nuovo testo vigente in materia di privacy, da maggio 2018.
Le principali novità, riguardano l’integrazione dell’informativa con indicazioni più puntuali su conservazione/cancellazione dei dati e relative tempistiche, la nomina di un DPO o RDP (“Data Protection Officer” o “Responsabile Privacy”) con il compito di supervisionare l’applicazione della normativa all’interno dell’azienda e l’obbligo di formazione specifica per il personale. L’introduzione di un DPO, in realtà, non è obbligatoria per tutte le aziende, ma deve essere valutata sul piano di una considerazione generale della società (grandezza, caratteristiche, mole di dati gestiti, profili di criticità…).
Una delle novità centrali del sistema è il principio di “accountability“, ossia, rispetto al precedente approccio della privacy – più formale e basata su modulistica e documentazione obbligatoria – nella riforma, invece, guida il principio dell’affidabilità. Vale a dire che è l’azienda/organizzazione, che deve garantire la sicurezza, la tutela del dato ed il rispetto dei principi di uso pertinente e legale. Per farlo non dovrà, quindi, attuare una serie di documenti formali, ma dovrà garantire all’esterno la solidità ed efficienza del proprio sistema di gestione. Ciò passa, pertanto, attraverso la necessaria predisposizione di idonei presidi organizzativi (sistemi informatici, procedure, referenti delle attività) che governano e gestiscono i rischi e le criticità derivanti dalla gestione di dati della clientela.
Il DPO è una figura a capo di un sistema di presidio del trattamento dei dati, quindi a lui devono essere indirizzati flussi informativi ed in capo allo stesso sussistono obblighi di reporting rispetto al vertice aziendale. Sempre il DPO deve essere destinatario dei flussi riguardanti eventuali claims indirizzati alla struttura (in tema di trattamento dati), ed è chiamato a definire tempi di risposta ed evasione delle richieste. Eventualmente, soprattutto per le grandi strutture/organizzazioni, potranno essere nominati ulteriori referenti, costituenti l'”organizzazione privacy”, che faranno riferimento al DPO per coordinamento e supervisione, magari proprio per le aree ritenute più “sensibili”. La logica del sistema è, infatti, quella di una catalogazione dei dati e dei processi di gestione degli stessi, accompagnata da una valutazione dei rischi finalizzata alla predisposizione di idonei presidi.
Ulteriori novità attengono, poi, alla gestione dei dati tramite il web, ai sistemi di profilazione ed alla sicurezza dei dati in cloud.
Infine, la riforma prevede un rafforzamento delle tutele a favore dell’interessato, da connotarsi nel c.d. “diritto all’oblio” ed un inasprimento delle sanzioni amministrative.
La nostra Società potrà fornire assistenza per una valutazione di impatto della normativa sui processi aziendali, finalizzata alla creazione di una struttura “privacy”, adeguata per la gestione dei processi di trattamento e conservazione dati. I nostri servizi includono la revisione della modulistica e delle informative obbligatorie, l’implementazione delle regole riguardanti sito web e sistemi di storage, con revisione degli accordi con i provider del servizio.
La Framinia S.r.l. è a Vostra disposizione sia per chiarimenti che per preventivi di implementazione del sistema.
Roma, 06/03/2018
FRAMINIA SRL