Privacy. Nuovo Regolamento UE GDPR 2016/679 e Dlgs n. 101/2018

privacyIl nuovo Regolamento UE contiene disposizioni che richiedono un periodo di tempo propedeutico al recepimento dei nuovi adempimenti. Le pricipali nuove misure di sicurezza da adottare sono relative al Registro di Trattamento, Data breach, Informative, Analisi del Rischio dei trattamenti (DPIA). Dal 25 Maggio 2018 il GDPR è operativo, ecco come adeguarsi.

 

Dal 25 Maggio 2018 è in vigore il GDPR (General Data Protection Regulation) o RGPD per l'abbreviazione italianizzata del Regolamento UE 2016/679
Il 19 settembre 2019 è stato pubblicato il Dlgs n. 101 del 10 agosto 2018 che prevede l'adeguamento del Codice della Privacy Dlgs. 196/2003 al Regolamento UE GDPR n. 2016/679.

Per chi contravviene alle nuove disposizioni sono previste sanzioni fino a 20 milioni di euro o al 4% delle entrate annuali, se superiore.

 

Adeguarsi al nuovo Regolamento UE comporta:    

1. Documentare tutti i trattamenti di dati personali effettuati dall'ente o azienda, precisando per ciascuno di essi l'origine e la natura dei dati, le categorie di interessati, le modalità e le finalità di trattamento, i tempi di conservazione, nonché eventuali comunicazioni a soggetti terzi o diffusioni.

2. Revisionare le informative agli interessati, i moduli di consenso, le nomine a responsabile del trattamento, a incaricato del trattamento, le clausole per il “trattamento dei dati personali” nei contratti con i fornitori o dipendenti  e pianificarne l'adozione.

3. Definire un piano di conformità alle disposizioni - compliance -  che comprenda le valutazioni di impatto - DPIA, la revisione dei piani di audit, delle procedure e delle policy nonché piani di formazione.  

4. Mettere in atto, riesaminare ed aggiornare adeguate misure tecniche ed organizzative, per garantire e dimostrare che le operazioni di trattamento vengono effettuate in conformità alla nuova disciplina - accountability. Non sono più previste le “misure minime” da adottare, quali quelle contenute nell’Allegato B del Codice Privacy, ma è necessario individuare, caso per caso, le misure di protezione idonee, alla luce delle disposizioni previste dal Regolamento UE.

5. Progettare e sviluppare gli strumenti e i servizi tenendo conto della normativa in materia di protezione dei dati personali per consentire ai titolari del trattamento di adempiere agli obblighi prescritti dalla normativa - Privacy by design.

6. Nominare un Responsabile della Protezione dei Dati - RPD o Data Protection Officer - DPO in tutti gli Enti della pubblica Amministrazione e nelle imprese o in altre organizzazioni quando ricorrono le previsioni di cui all'articolo 37, lettere b) e c) del Regolamento UE.
Ovverosia se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10 del Regolamento.

7.    Revisionare i presupposti normativi sui quali si fondano i trattamenti dei dati personali e registrarli.

8.    Definire le procedure  per la rilevazione, segnalazione e  indagine di violazioni di sicurezza - Data Breaches - entro   72   ore   dalla   conoscenza   dell'evento.   

9. Valutare   l'adozione   di   procedure   di pseudonimizzazione dei dati e l'uso della crittografia.

 

formazione online

 

Servizi privacy Actainfo

Per far fronte ai nuovi obblighi previsti nel settore della privacy Actainfo fornisce i seguenti servizi: 

- Adeguamento alle disposizioni del Regolamento UE 2016/679 in vigore dal 25 maggio 2017.

- servizio di Responsabile per la protezione dei dati personali - RPD Data Protection Officer - DPO la cui designazione è obbligatoria per tutti i soggetti pubblici secondo le direttive emanate dal Regolamento UE 2016/679. Referenze.

- Supporto compliance  per la redazione della documentazione comprovante l'assolvimento degli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati.

- Auditing periodico per verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi.
Per il principio di Accountability, il Titolare al Trattamento dei dati deve dimostrare di aver adottato i modelli organizzativi e le misure di sicurezza fisiche e logiche per proteggere i dati, pianificando opportune verifiche interne.

- Pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;  punto di contatto con il Titolare dei dati personali, il Responsabile del Trattamento e i dipendenti in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti, incluso il contatto diretto con il Garante per la protezione dei dati personali .

Formazione dei soggetti autorizzati al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile come previsto dall'art. 4, n. 10, del regolamento UE GDPR 2016/679.
Per facilitare la formazione dei dipendenti e collaboratori, in orari autogestiti, è attiva la piattaforma di formazione a distanza all'indrizzo: https://elearning.actainfo.it/

Assistenza sulle problematiche relative alla tutela dei dati personali e alla sicurezza informatica.

- Consulenza sui provvedimenti organizzativi e gestionali dell’Ente che incidono sulle misure di sicurezza da adottare per la tutela dei dati personali.

- Redazione e aggiornamento del Registro delle Attività di Trattamento, novità introdotta dall'art. 30 del Regolamento UE 2016/679,  erede del DPS, utilizzando un applicativo telematico web service , realizzato da Actainfo, personalizzato alle esigenze dell’ente, azienda o professionista accessibile al Titolare del trattamento e/o a suoi delegati, obbligatorio per tutti gli enti pubblici e per le imprese e organizzazioni con più di 250 dipendenti, avente la finalità di:

  • rappresentare le attività di trattamento a fini di informazione, consapevolezza e condivisione interna;
  • costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati, tesa a garantire la loro integrità, riservatezza e disponibilità.

Servizi digitali per le imprese e le P.A. 2

A proposito dei soggetti economici con meno di 250 dipendenti, per le quali non è prevista la tenuta obbligatoria del Registro delle Attività di Trattamento, il Garante per la protezione dei dati personali, nella sua Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali comunica che: “il Registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali”, e raccomanda tutti i titolari del trattamento e responsabili  di dotarsi di tale registro prescindendo dalle dimensioni dell’organizzazione.

 

Contattaci per trovare la migliore soluzione di adeguamento al GDPR UE.

Oppure scarica una delle nostre checklist gratuite per verificare gli obblighi, i processi attuali ed indivisuare eventuali lacune.