Il 25 Maggio 2018  il nuovo Regolamento GDPR che impone a tutte le aziende che operano con i cittadini europei di adottare nuove misure per la protezione dei dati.

GDPR sta per General Data Protection Regulation (Regolamento generale sulla protezione dei dati personali), ovvero il Regolamento Europeo 2016/679. In estrema sintesi, il GDPR chiarisce come i dati personali debbano essere trattati, incluse le modalità di raccolta, utilizzo, protezione e condivisione. L’obiettivo del GDPR è dunque quello di rafforzare la protezione dei dati per tutte le persone le cui informazioni personali rientrano nel suo campo di applicazione, dando loro il pieno controllo dei propri dati.

Rispetto all’attuale Codice della Privacy dlg. 196, introduce nuove figure come il DPO (Data Protection Officer)  e modifica ruoli e responsabilità degli attuali Titolari e Responsabili del Trattamento. Viene inoltre introdotto l’obbligo di denunciare qualsiasi perdita o manipolazione dei dati e di documentare tutte le misure adottate per ridurre al minimo questi rischi. Vengono inoltre inasprite le sanzioni  amministrative che potranno arrivare fino a 20 milioni di euro o  4% del fatturato mondiale.

Il GDPR si applica quando:

La base operativa dell’organizzazione si trova nell’Unione Europea (ciò vale indipendentemente dal fatto che il trattamento abbia luogo nel territorio UE o meno);
L’organizzazione, seppure non avente sede nell’Unione Europea, offre beni o servizi (anche gratuitamente) a cittadini europei. Può trattarsi di enti pubblici, società private o pubbliche, persone fisiche od organizzazioni senza scopo di lucro;
L’organizzazione, seppure non avente sede nell’Unione Europea, monitora il comportamento delle persone che vi risiedono, a patto che tale comportamento abbia luogo all’interno del territorio UE.

Un ambito di applicazione così ampio copre in pratica quasi tutte le attività, e pertanto si può concludere che il GDPR si applica indipendentemente dal fatto che la tua organizzazione si trovi nell’Unione Europea o meno.

Due uova di Colombo

Negli ultimi anni ho visto nascere, così come per la L.675/96 e il d.lgs. 196/03, una pletora di certificazioni, corsi e soggetti che con scarse competenze pregresse si propongono alle imprese e pubbliche amministrazioni come consulenti. Il garante della privacy ha precisato che non esistono certificazioni abilitanti, ma che esse sono un ottimo punto di partenza per chi non ha maturato competenze precedenti.

C’è da dire inoltre che le competenze richieste alla figura del Chief o Data Protection Officer devono riguardare, tra le altre, la conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati personali (art. 37 GDPR) e una buona conoscenza e sensibilità sulle tematiche squisitamente tecnologiche. Il consulente legale e quello tecnologico hanno indubbiamente due modi di concepire ed agire su realtà diverse. Sono convinto che un solo professionista non sia in grado di svolgere questa complessa consulenza con la dovuta perizia.

Nasce da questa semplice constatazione l’idea di offrire consulenza strategica sulla privacy avvalendomi del supporto giuridico fornitomi da diversi studi legali, specializzati su queste complesse tematiche.

Cosa fare?

Il mio consiglio è di non sottovalutare la questione, dal momento che il GDPR responsabilizza il Titolare affidandogli il compito di decidere in autonomia le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative. Se non vuoi incorrere in problematiche pericolose per la tua impresa, contattami per fissare un incontro. In quella sede, dopo un’analisi preliminare, definiremo costi e modalità per procedere con l’adeguamento al GDPR.

w

INCONTRO PRELIMINARE

Riunione preliminare con il titolare del trattamento, la direzione aziendale e gli eventuali stakeholder, allo scopo di individuare le aree critiche in base agli obbiettivi.

ANALISI E SEGNATURA

Segnatura dei dati da trattare con particolare attenzione all’analisi dei rischi e la valutazione di impatto sulla privacy. Analisi dei processi e dei sistemi informativi che trattano le tipologie di dati emerse nella valutazione di impatto.
N

MILESTONES

Individuazione funzionale dei vari soggetti (ruoli e competenze), con particolare attenzione al DPO. Definizione azioni, priorità e preparazione documentazione.

FORMAZIONE

Formazione al titolare e ai soggetti preprosti alla diffusione interna delle nuove privacy best practices.