GDPR

General Data Protection Regulation

Il nuovo regolamento europeo ha l’obiettivo di armonizzare le diverse normative nazionali per favorire la circolazione dei dati dei cittadini europei in maniera sicura e protetta.
Con l’avvento del GDPR le imprese si devono confrontare con un impianto normativo che richiede un approccio diverso da quello del passato.
La nuova disciplina pone l’accento sugli obiettivi sostanziali e sul principio di accountability, attribuendo all’azienda più ampi margini di autonomi ma caricandola di responsabilità più gravose.

Nella primavera 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea, il nuovo Regolamento (UE) n. 2016/679 General Data Protection Regulation (GDPR), che abroga e sostituisce la Direttiva
95/46/CE in materia di protezione dei dati personali e della libera circolazione degli stessi.
L’intento del legislatore europeo è quello di unificare e rafforzare, all’interno degli Stati Membri, i processi, le procedure e gli standard per la raccolta, la gestione e la protezione dei dati personali all’interno e al di fuori dei confini dell’UE. Il Regolamento è entrato in vigore 20 giorni dopo la pubblicazione in GUUE, per diventare definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, senza necessità di atti normativi di recepimento da parte dei singoli ordinamenti; il legislatore nazionale è comunque intervenuto con un decreto legislativo, il 101/2018, con lo scopo di armonizzare il previgente Codice Privacy con il nuovo Regolamento UE.
Il Regolamento crea diritti e doveri per gli individui e può pertanto essere fatto valere dinanzi ai giudici nazionali.

Obiettivi dell’azione di compliance:

  • Valutare l’entità dei rischi e degli effetti conseguenti alla violazione dei dati personali
  • Attivare processi, misure e controlli continui finalizzati alla mitigazione effettiva del rischio e al rispetto degli obblighi normativi
  • Individuare le figure interne/esterne a cui assegnare la responsabilità e i compiti di vigilanza
  • Garantire i diritti degli interessati, compresi il diritto all’oblio e alla portabilità dei dati
  • Abbattere il rischio di sanzioni pecuniarie o azioni legali
  • Gestire in modo razionale, sostenibile ed efficace gli obblighi normativi

Principali ambiti di adeguamento

Privacy by design / by default
Obbligo di mettere in atto misure adeguate in fase di progettazione (by design) o per impostazione predefinita (by default) sulla base della criticità dei dati trattati.

Data Breach Notification
Obbligo di comunicare senza ingiustificato ritardo ed entro 72 ore all‘Autorità competente eventuali violazioni dei dati personali (e, in presenza di determinate condizioni, obbligo di rendere nota la violazione anche agli interessati).

Registro dei trattamenti
Obbligo di tenuta di un registro delle attività di trattamento dei dati personali contenente,
tra le altre informazioni, le finalità, le categorie di interessati e di trattamenti, la descrizione delle misure di sicurezza.

Data Privacy Impact Assessment (DPIA)
Obbligo di effettuare una valutazione preventiva dell’impatto derivante da un trattamento sulla protezione dei dati personali che include una valutazione dei rischi e delle misure di sicurezza.

Trasferimento dei dati
Obbligo di verifica di sussistenza delle condizioni previste dal Regolamento prima del trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale.

Revisione modello organizzativo
Riformulazione di deleghe, compiti e funzioni interne: non è più prevista la figura del responsabile interno del trattamento, ma non viene meno la necessità organizzativa di assegnare compiti e funzioni ai diversi livelli gerarchici già presenti in azienda. Introduzione del Data Protection Officer (DPO):
ha il compito di sorvegliare la corretta applicazione della normativa, effettuare ispezioni e consultazioni e fungere da contact point con i vertici e con il Garante.

Informativa e consensi
Diritto dell’interessato a ricevere le informazioni in modo trasparente e la richiesta di consenso in modo distinguibile e non condizionato. Obbligo del titolare di dimostrare l’ottenimento del consenso.

Accountability
Si riducono notevolmente i casi in cui è necessario chiedere autorizzazioni o interpelli all’autorità Garante. Maggiori poteri del Titolare del trattamento di decidere in autonomia, con la consapevolezza che tali poteri sono bilanciati da sanzioni amministrative estremamente rilevanti.

Data Protection
Obbligo di mettere in atto misure di protezione dei dati personali (es. pseudonimizzazione e cifratura) per garantire un livello di sicurezza adeguato ai rischi tra cui quelli di distruzione, perdita, modifica indebita, accesso non autorizzato.

Il percorso di adeguamento proposto da Avvera

Consapevolezza

  • Identificazione dei principali gap.
  • Esecuzione del programma di adeguamento al GDPR in base alle evidenze di Risk Assessment.

Avvio

  • Definizione del perimetro delle attività del programma di adeguamento al GDPR.
  • Approvazione delle stime e del budget.

Risoluzione

  • Definizione di un programma integrato di adeguamento con identificazione/prioritizzazione degli interventi.

Conformità

  • Istituzione del DPO e dei processi di riferimento, con adeguamento degli assetti organizzativi e relativi flussi informativi e procedure.
  • Implementazione della Privacy by design/default, definizione di un processo di escalation in caso di data breach, mediante l’adozione di procedure operative.
  • Formazione delle persone che trattano dati personali.

Ottimizzazione

  • Ottimizzazione dei processi sulla base dei data breach
  • Rafforzamento delle misure di sicurezza sui dati personali

I servizi di Avvera

  • Assessment e Due diligence
  • Messa a norma
  • Formazione
  • Affiancamento per lo svolgimento in outsourcing delle attività periodiche di controllo e di aggiornamento
  • Servizio esternalizzato della Funzione di DPO
  • Audit