Pianificare la conformità al nuovo Regolamento Europeo Privacy 2016 / 679
La Privacy: da costo a risorsa di valore
Il 2017 è l’anno di preparazione alla transizione dal Codice della Privacy al Nuovo Regolamento Europeo sul trattamento dei dati personali (GDPR). Il nuovo regolamento è già entrato in vigore dal 25 maggio 2016 e troverà piena applicazione dal 25 maggio 2018. Ciò significa che anche i trattamenti già effettuati, dovranno venire resi conformi al GDPR entro il prossimo 25 maggio 2018.
Real Comm ti offre il supporto sia legale che tecnologico.
La nuova normativa ha lo scopo di armonizzare la disciplina tra gli Stati membri in materia di Privacy ed è finalizzata a sviluppare il mercato unico digitale attraverso la creazione e la promozione di nuovi servizi, applicazioni, piattaforme e software. Le aziende hanno l'onere di mettere immediatamente a punto attività di adeguamento al nuovo quadro normativo.
Il Nuovo Regolamento Europeo (GDPR) introduce diversi cambiamenti rispetto al Codice della Privacy, peraltro ancora in vigore. Il GDPR prevede infatti la nuova figura professionale del DPO (Data Protection Officer), obbligatoria per gli enti che trattano volumi significativi di dati, e nuovi doveri e responsabilità per il titolare del trattamento dei dati. Tra questi, vi è l'obbligo di tenere il Registro delle Attività di Trattamento. Il GDPR inoltre prende in considerazione scenari progettuali che devono rispettare sin dal principio l’impostazione di un’attività di trattamento (privacy by default, privacy by design, privacy impact assessment).
Il GDPR introduce regole nuove: prevede una nuova modalità di trasferimento dei dati personali a Paesi terzi e prevede nuove procedure da adottare in caso di perdita di dati. Il GDPR ha istituito un comitato europeo per la protezione dei dati che ha il compito di applicare politiche congrue e coerenti con la crescente diffusione dei social network e del cloud (come sistema di archiviazione e trattamento di dati).
Obiettivo comune del legislatore e del Garante per la protezione dei dati personali è quello di semplificare gli adempimenti del titolare del trattamento facendo in modo che possa trarre concrete agevolazioni dalla nuova normativa.
In effetti la corretta adozione di semplici misure a protezione dei dati personali può contribuire a rendere più efficiente l’organizzazione dell’azienda e a ridurre sensibilmente i potenziali rischi a cui la stessa si espone sul mercato. E’ necessario dunque adottare best practice che possono migliorare non solo l’immagine dell’azienda, dal punto di vista della responsabilità sociale, ma anche la capacità di business a parità di costi sostenuti, aumentando la fiducia di utenti e consumatori nella serietà e affidabilità dell’azienda.
Alcune delle novità introdotte possono comportare modifiche rilevanti in materia di organizzazione dell'azienda e, in alcuni casi, investimenti di natura tecnologica. È quindi necessario predisporre una pianificazione fatta di valutazioni e analisi per non farsi trovare impreparati quando entrerà in vigore il GDPR.
Come affrontare le novità del GDPR:
- Valorizzare le soluzioni già adottate in azienda, in armonia con l’obbligo di conformità (compliance) al GDPR;
- Scegliere il metodo più adeguato per far fronte alle novità del GDPR, valutando la tipologia dei dati personali trattati, i rischi di ogni specifico trattamento e la tipologia di azienda;
- Adottare misure tecniche ed organizzative che:
- Garantiscano la rispondenza completa ai requisiti richiesti dal GDPR;
- Permettano al Titolare del trattamento di dimostrare che il trattamento è conforme al GDPR;
- Siano aderenti a Codici di Condotta certificati.
Per garantire la conformità al GDPR, le aziende devono:
- Individuare e formalizzare i ruoli e le responsabilità per i trattamenti dei dati personali e per la loro protezione; gestire un Registro dei Trattamenti, da riesaminare ed aggiornare qualora necessario;
- valutare gli impatti e i rischi di ogni specifico trattamento per l’azienda, tenendo conto anche delle misure di protezione attuali, e procedere a una valutazione periodica (PIA);
- individuare e pianificare i progetti di adeguamento al Nuovo Regolamento Europeo (ambito, risorse, tempi), valorizzando soluzioni e competenze già disponibili in azienda: definire le misure di sicurezza (tecniche ed organizzative) adeguate in relazione alla valutazione del rischio;
- gestire i piani di risanamento (remediation plan) delle misure di sicurezza non adottate; gestire il processo privacy by design sui nuovi trattamenti introdotti;
- valutare l’opportunità di adottare best pratices di mercato (standard, framework, norme ISO, etc ) per assicurare efficacia ed efficienza delle soluzioni;
- gestire il registro degli incidenti;
- valutare l’impatto economico per la conformità al GDPR
E’ auspicabile, oltre che necessario, intervenire immediatamente con efficaci piani di adeguamento al GDPR possibilmente entro il II° semestre 2017 rispetto alla imminente deadline:
- entro il III° trimestre 2017 realizzazione del Documento di conformità al D.Lgs 196/2003 con piano di adeguamento al GDPR;
- entro il IV° trimestre 2017 realizzazione del Master Plan GDPR;
- entro il I° trimestre 2018 realizzazione Progetti di Adeguamento al GDPR.
Real Comm ti accompagna in questo delicato percorso.
Real Comm ti fornisce il supporto sia legale che tecnologico per indirizzarti nel complesso scenario attuale e per farti ottenere un’adeguata protezione dei dati in fase di acquisizione, trattamento, trasferimento e cancellazione. Real Comm ti offre un servizio che consente a te e alla tua azienda di comprendere gli obblighi imposti dal GDPR in materia di protezione dei dati (data protection), di pianificarne gli adempimenti, di implementare le misure necessarie e di monitorarle nel tempo. Real Comm ti supporta nell’adeguamento agli obblighi introdotti dal nuovo Regolamento Europeo (GDPR) in materia di data protection e ciò in vista della sua piena applicabilità nel maggio 2018.
Principali aspetti trattati negli interventi di consulenza e supporto:
- Definizioni e concetti base del Nuovo Regolamento Europeo (GDPR) e differenze con l’attuale Codice Privacy
- Novità organizzative e metodologiche del GDPR (Capo IV): le procedure che, in generale, rendono lecito il trattamento
- La Privacy e le nuove condizioni del consenso;
- Il Responsabile del trattamento e l’Incaricato del trattamento: obblighi e responsabilità;
- La sicurezza dei dati personali (Data Protection) e Prtotection Impact Assessment (PIA)
- I principi di Privacy by design e Privacy by default
- La nuova figura del Data Protection Officer (DPO): compiti, responsabilità e durata;
- La violazione dei dati personali (Data Breach);
- Il Registro delle Attività di Trattamento
- Gestione dei Log
- Come pianificare l’adeguamento al GDPR: conformità al Codice della Privacy nella prospettiva dell’entrata in vigore del GDPR.
- Richiamo di alcuni Provvedimenti Generali del Garante:
- L’utilizzo del computer in azienda;
- I sistemi di videosorveglianza in azienda;
- Le regole del marketing;
- Il sito aziendale e i trattamenti con internet.
Destinatari degli interventi di consulenza e supporto:
- Responsabili del Personale, Responsabili e addetti ICT, addetti Ufficio Legale di aziende ed enti pubblici, Responsabili Ufficio Marketing, Titolari e Responsabili del trattamento, consulenti, amministratori di Sistema, avvocati, commercialisti
- Tutti coloro che hanno nominato un Responsabile Esterno al Trattamento
- Tutti coloro che hanno nominato un fornitore Responsabile Esterno al Trattamento