A decorrere dal 25 maggio 2018 si applicherà il NUOVO REGOLAMENTO EUROPEO PER LA PROTEZIONE DEI DATI PERSONALI (GDPR), che porterà importanti novità non solo per i cittadini, ma anche per aziende, associazioni, liberi professionisti. Si tratta di nuove norme relative alla protezione dei dati personali delle persone fisiche, al loro trattamento e alla libera circolazione di tali dati. Il Regolamento Europeo, che si applicherà in tutti gli Stati Membri dell’Unione Europea come unico ordinamento, parte dal presupposto che quanto più elevata e precisa sarà la valutazione dei rischi gravanti sui trattamenti dei dati, con relativa adozione delle necessarie e idonee misure di sicurezza, tanto minore sarà il rischio di incorrere in violazioni della normativa.

Il Regolamento Europeo, in sintesi, prevede nuove tutele a favore degli interessati (persone fisiche) e nuovi obblighi a carico di Titolari e Responsabili del trattamento di dati personali. Le principali novità contenute nel Regolamento Europeo possono essere sintetizzate come di seguito indicato:

  • viene introdotto il principio della accountability (Responsabilizzazione), che comporterà l’onere di dimostrare (anche a livello documentale) l’adozione di tutte le misure privacy previste dal Regolamento Europeo;
  • viene introdotto il registro dei trattamenti, in cui devono essere riportate tutte le attività di trattamento dei dati svolte sotto la responsabilità del Titolare del trattamento o del Responsabile; l’adozione di tale registro, seppur non obbligatorio per tutti (costituisce un obbligo per i titolari con più di 250 dipendenti e per quelli che, pur con meno di 250 dipendenti, effettuano trattamenti di dati particolari – dati sensibili – che possono presentare un rischio per i diritti e le libertà dell’interessato) è tuttavia fortemente consigliata dall’Autorità di controllo italiana (Garante Privacy);
  • occorre effettuare un’attenta analisi dei rischi o una vera e propria “valutazione d’impatto” sulla protezione dei dati – Data Protection Impact Assessment (quest’ultima non obbligatoria per tutti, ma solo per i soggetti che effettuano trattamenti di dati rischiosi, come ad esempio i trattamenti su larga scala di dati sensibili o trattamenti di dati automatizzati come la “profilazione”);
  • occorre procedere all’adozione di idonee” misure di sicurezza atte alla protezione dei dati personali (rispetto all’attuale Codice Privacy, “spariscono” pertanto le misure di sicurezza minime previste dal disciplinare tecnico – allegato B al Codice); ogni titolare dovrà quindi adottare le misure di sicurezza che riterrà necessarie alla protezione dei dati in base all’analisi dei rischi effettuata);
  • è prevista una forma di nuova “cooperazione” (Data Breach) con l’Autorità di Controllo (Garante Privacy), alla quale andrà notificata, unitamente ai diretti interessati, entro un termine prestabilito, qualsiasi violazione dei dati personali eventualmente subita;
  • viene introdotta la nuova figura del D.P.O. (Data Protection Officer): a tale figura, che dovrà possedere un’ampia conoscenza della normativa sia a livello giuridico che informatico, verrà affidato il compito di analizzare, valutare e disciplinare la gestione del trattamento e della salvaguardia dei dati personali all’interno di un’azienda, secondo le direttive imposte dalle normative vigenti; anche questa figura non è obbligatoria per tutti i titolari ma solo per le Pubbliche Amministrazioni e, nel settore privato, per i titolari che effettuano trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati o trattamenti su larga scala di dati sensibili o giudiziari;
  • è confermato, per il titolare del trattamento, l’obbligo di formare gli addetti autorizzati al trattamento dei dati. Chiunque agisce sotto l’autorità del titolare del trattamento o del responsabile, che abbia accesso a dati personali, quindi, non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento;
  • sono previste nuove sanzioni amministrative fino a 20 milioni di euro o fino al 4% del fatturato mondiale se superiore.

CNA Modena assiste le imprese in questo adempimento di grande impatto con un servizio specifico, in particolare rispetto alla parte operativa di adeguamento al GDPR sulla base delle singole realtà aziendali.

Queste soluzioni su misura richiedono una prima e preliminare verifica della situazione aziendale. Vi invitiamo, quindi, a compilare online un semplice questionario che potete trovare cliccando quiUna volta inviato il questionario verrete contattati per ricevere le informazioni operative in merito alla tipologia del servizio più adatto alla Vostra azienda.

Per maggiori informazioni contattare Andrea Corradini – servizioprivacy@mo.cna.it