SERVIZIO CLIENTI 
Privacy - GDPR
Il 25 Maggio 2018 è entrato in vigore nuovo regolamento UE in materia di data privacy, applicabile in tutti gli Stati membri dell’Unione Europea, senza che sia necessaria alcuna normativa interna di adeguamento.
In estrema sintesi, il GDPR – General Data ProtectionRegulation – obbliga le aziende ad assumersi maggiori responsabilità sui dati degli utenti raccolti e a impegnarsi per proteggerli al meglio.
L’intento principale del legislatore europeo è di creare un unico regime di protezione dei dati, che interessi tutti i soggetti che svolgono affari sul suolo europeo, compresi quelli che hanno ufficialmente sede fuori dall’Unione.
QUALI SONO LE PRINCIPALI NOVITÀ?
Informativa e consenso
Con l’attuale disciplina il testo con cui si informa l’utente circa le finalità e le modalità del trattamento dei dati personali è più che altro un documento burocratico, pieno di riferimenti legislativi. L’effetto è GDPR che l’utente viene disincentivato alla lettura e, di conseguenza, viene meno l’informazione stessa.
Il GDPR impone alle aziende di rendere l’informativa sulla privacy più comunicativa, affinché sia accessibile e comprensibile a chiunque.
Per quanto riguarda il consenso al trattamento dei dati, il nuovo Regolamento Ue prevede che questo possa essere manifestato degli utenti in due modalità: in modo esplicito o attraverso azioni positive. Queste novità favoriranno le aziende nella raccolta dei dati, che saranno rilasciati in maniera più consapevole dalle persone interessate.
Profilazione
Il GDPR offre, finalmente, una definizione dell’attività di profilazione. L’art. 4 del Regolamento indica la profilazione come qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo degli stessi per valutare determinati aspetti relativi a una persona fisica. In particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti degli utenti.
Le aziende che intendono fare profilazione devono specificarlo nell’informativa e in tal caso è richiesto un consenso rafforzato, ossia esplicito. Non sarà quindi sufficiente il consenso per azioni positive.
DPO – Data Protection Officer
Il GDPR ha introdotto una nuova figura, il Responsabile della Protezione dei Dati. Si tratta di un supervisore interno che funge da collegamento tra l’azienda e l’Autorità Garante nazionale. Il DPO dovrà possedere un’adeguata conoscenza della normativa relativa alla gestione dei dati personali, dovrà adempiere alle sue funzioni in assenza di conflitti di interesse e potrà operare alle dipendenze del titolare oppure sulla base di un contratto di servizio.
Sanzioni
Le aziende che non si adegueranno alla normativa europea saranno soggette a sanzioni amministrative pecuniarie. Ad esempio, se un’azienda non segnala una violazione dei dati personali entro 72 ore, dovrà pagare una sanzione.
Le sanzioni saranno potenzialmente molto elevate, possono raggiungere il 4% del volume d’affari annuale o i 20 milioni di euro, ma comunque graduali ed equiparate all’entità della violazione. Per produrre un risultato adeguato e conforme alla legge è importante affidarsi a consulenti di adeguata esperienza informatica e di processo, in grado di fornire una corretta interpretazione della realtà aziendale.
Fasi di erogazione del servizio
1. Analisi struttura aziendale e raccolta informazioni edocumentazione:
strategia & pre assessment (accertamento): definizione dell’ambito di intervento, il grado di preparazione e coinvolgimento del management sul tema della sicurezza, la presenza e il rispetto di una policy aziendale, dei dati sensibili particolarmente critici e strategici e le persone che sono attivamente coinvolte nel trattamento dei dati risk assessment & business impact analysis: “studio del contesto” per la definizione dei rischi a cui è soggetta l’organizzazione, l'analisi delle vulnerabilità e determinazione delle possibili salvaguardie. Successivamente si individuano le conseguenze derivanti dal verificarsi di ciascun evento critico e si valuta l’impatto sull’operatività dell’organizzazione implementation: attuazione delle misure necessarie per mitigare i rischi rilevati (di conformità, preventive, correttive, tecnologiche e di formazione) operations & support: gestione operativa dei dati (trattamento), dei diritti dell’interessato e dei data breach
2. Costruzione ed implementazione del sistema privacy GDPR consistente in:
Registro del trattamento dati strumento introdotto dal Regolamento Europeo per consentire alle autorità di controllo competenti di monitorare le attività di trattamento dei dati personali effettuate dal Titolare o dal Responsabile del trattamento sotto la propria responsabilità.
Regolamento sull'uso dei dati documento ad uso interno per tutto il personale nel quale viene dettagliata la metodologia circa l'uso dei dati gestiti dall'organizzazione
Procedura gestione incidente informatico procedura (step by step) da applicare in caso di incidente informatico
Registro incidenti informatici documento su cui annotare tutti gli eventuali incidenti informatici avvenuti all'interno dell'organizzazione
Informativa privacy aggiornamento dell'informativa presente sulla modulistica aziendale
Formazione al nuovo GPDR ad erogazione ultimata à prevista una specifica attività formativa ai soggetti coinvolti nella gestione dei dati (Titolare de dati e Responsabile del trattamento)
Data Protection Officer
Per rendere la protezione dei dati ancora più sicura ed effettiva il Regolamento (UE) 2016/679 ha previsto la figura del Data Protection Officer (DPO) ovvero il responsabile della sicurezza dei dati in quale deve:
- informare e fornire consulenza al titolare e al responsabile del trattamento in merito agli obblighi derivanti dal Regolamento 679/2016 o dalle altre disposizioni legislative interne o europee in materia di protezione dati;
- sorvegliare l'osservanza del Regolamento da parte del titolare e del responsabile del trattamento in tutte le sue parti, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa al trattamento;
- fornire su richiesta pareri in merito alla valutazione d'impatto e sorvegliarne lo svolgimento;
- cooperare con l'autorità di controllo fungendo, tra le altre cose, da punto di contatto per questioni connesse al trattamento effettuando consultazioni di ogni tipo, con particolare riguardo e attenzione ad un'eventuale attività di consultazione preventiva. Tale figura seppur obbligatoria per particolari realtà (a titolo esemplificativo ma non esaustivo se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico; quando le attività principali dell’organizzazione consistono in trattamenti che, richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”) è stata indicata dal Garante come “consigliata”. DoubleE può offrire tale importante ruolo all’interno dell’organizzazione garantendo maggiore serenità nella gestione degli adempimenti non solo nella fase iniziale e di implementazione ma successivamente all’entrata in vigore del Regolamento Europeo.