Privacy. Come prepararsi al Nuovo Regolamento Privacy UE 2016/679

Il nuovo Regolamento UE contiene disposizioni che richiedono un periodo di tempo propedeutico al recepimento dei nuovi adempimenti. Le pricipali nuove misure di sicurezza da adottare sono relative al Registro di Trattamento, Data breache, Informative, Analisi del Rischio dei trattamenti (DPIA). Il 25 Maggio 2018 sarà operativo, ecco come prepararsi.

 

privacy

Dal 25 Maggio 2018 sarà operativo il GDPR (General Data Protection Regulation) o RGPD per l'abbreviazione italianizzata del Regolamento UE 2016/679

Per chi contravverrà alle nuove disposizioni sono previste sanzioni fino a 20 milioni di euro o al 4% delle entrate annuali, se superiore.

 

Prepararsi al nuovo Regolamento UE comporta:    

1. Documentare tutti i trattamenti di dati personali effettuati dall'ente o azienda, precisando per ciascuno di essi l'origine e la natura dei dati, le categorie di interessati, le modalità e le finalità di trattamento, i tempi di conservazione, nonché eventuali comunicazioni a soggetti terzi o diffusioni.

2. Revisionare le informative agli interessati, i moduli di consenso, le nomine a responsabile del trattamento, a incaricato del trattamento, le clausole per il “trattamento dei dati personali” nei contratti con i fornitori o dipendenti  e pianificarne l'adozione.

3. Definire un piano di conformità alle disposizioni - compliance -  che comprenda le valutazioni di impatto - DPIA, la revisione dei piani di audit, delle procedure e delle policy nonché piani di formazione.  

4. Mettere in atto, riesaminare ed aggiornare adeguate misure tecniche ed organizzative, per garantire e dimostrare che le operazioni di trattamento vengono effettuate in conformità alla nuova disciplina - accountability. Non sono più previste le “misure minime” da adottare, quali quelle contenute nell’Allegato B del Codice Privacy, ma sarà necessario individuare, caso per caso, le misure di protezione idonee, alla luce delle disposizioni previste dal Regolamento UE.

5. Progettare e sviluppare gli strumenti e i servizi tenendo conto della normativa in materia di protezione dei dati personali per consentire ai titolari del trattamento di adempiere agli obblighi prescritti dalla normativa - Privacy by design.

6. Nominare un Responsabile della Protezione dei Dati - RPD o Data Protection Officer - DPO in tutti gli Enti della pubblica Amministrazione e nelle imprese o in altre organizzazioni quando ricorrono le previsioni di cui all'articolo 37, lettere b) e c) del Regolamento UE.
Ovverosia se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10 del Regolamento.

7.    Revisionare i presupposti normativi sui quali si fondano i trattamenti dei dati personali e registrarli.

8.    Definire le procedure  per la rilevazione, segnalazione e  indagine di violazioni di sicurezza - Data Breaches - entro   72   ore   dalla   conoscenza   dell'evento.   

9. Valutare   l'adozione   di   procedure   di pseudonimizzazione dei dati e l'uso della crittografia.

 

Servizi privacy Actainfo

Per far fronte ai nuovi obblighi previsti nel settore della privacy Actainfo fornisce i seguenti servizi: 

- Adeguamento alle disposizioni del Regolamento UE 2016/679 in vigore dal 25 maggio 2017.

- servizio di Responsabile per la protezione dei dati personali - RPD Data Protection Officer - DPO la cui designazione sarà obbligatoria per tutti i soggetti pubblici secondo le direttive emanate dal Regolamento UE 2016/679. Referenze.

- Supporto compliance  per la redazione della documentazione comprovante l'assolvimento degli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati.

- Auditing periodico per verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi.
Per il principio di Accountability, il Titolare al Trattamento dei dati deve dimostrare di aver adottato i modelli organizzativi e le misure di sicurezza fisiche e logiche per proteggere i dati, pianificando opportune verifiche interne.

- Pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;  punto di contatto con il Titolare dei dati personali, il Responsabile del Trattamento e i dipendenti in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti, incluso il contatto diretto con il Garante per la protezione dei dati personali .

Formazione di responsabili e incaricati del trattamento dei dati personali.

Assistenza sulle problematiche relative alla tutela dei dati personali e alla sicurezza informatica.

- Consulenza sui provvedimenti organizzativi e gestionali dell’Ente che incidono sulle misure di sicurezza da adottare per la tutela dei dati personali.

- Redazione e aggiornamento del Registro delle Attività di Trattamento, (erede del DPS), novità introdotta dall'Art. 30 del Regolamento UE 2016/679,  erede del DPS, , utilizzando un applicativo telematico web service , realizzato da Actainfo, personalizzato alle esigenze dell’ente, accessibile al Titolare del trattamento e/o a suo delegato, obbligatorio per tutti gli enti pubblici e per le imprese e organizzazioni con più di 250 dipendenti, avente la finalità di:

  • rappresentare le attività di trattamento a fini di informazione, consapevolezza e condivisione interna;
  • costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati, tesa a garantire la loro integrità, riservatezza e disponibilità.

A proposito dei soggetti economici con meno di 250 dipendenti, per le quali non è prevista la tenuta obbligatoria del Registro delle Attività di Trattamento, il Garante per la protezione dei dati personali, nella sua Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali comunica che: “il Registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali”, e invita tutti i titolari del trattamento e i responsabili, prescindendo dalle dimensioni dell’organizzazione, a dotarsi di tale registro.

 

Contattaci per trovare la migliore soluzione di ageuamento al GDPR UE.

Oppure scarica una delle nostre checklist gratuite per verificare gli obblighi, i processi attuali ed indivisuare eventuali lacune.