Collegno (To), 04 Gennaio 2018
Il 25 maggio 2018 entrerà in vigore il Nuovo Regolamento Generale per la Protezione dei Dati Personali (General Data Protection Regulation – GDPR) n. 2016/679, abrogando del tutto l’ex D. Lgs. 196/03 (Codice Privacy).
Il GDPR disciplina gli obblighi privacy che ogni azienda deve obbligatoriamente effettuare per non incorrere in sanzioni amministrative e penali.
Per poter effettuare le verifiche necessarie in materia di privacy, occorre dotarsi di un’organizzazione efficiente. Le figure coinvolte saranno quelle tradizionali, presenti già nel Codice Privacy, come il Titolare del Trattamento, il Responsabile del Trattamento Dati e la persona autorizzata al trattamento (ex Incaricato). Una novità è l’introduzione di una nuova figura: il Responsabile della Protezione dei Dati, il quale dovrà essere nominato nei casi previsti dal GDPR.
La nuova normativa richiede un impegno maggiore rispetto a quella precedente e una presa di coscienza da parte dei Titolari e dei Responsabili dell’onere che comporta l’applicazione della stessa.
Nello specifico vige l’obbligo di “accountability” (responsabilizzazione), pertanto i titolari sono tenuti non soltanto a garantire l’osservanza delle disposizioni del regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza. Essi dovranno attuare adeguate misure tecniche e organizzative sia nell’atto di progettazione che nell’esecuzione del trattamento; inoltre, i dati devono essere trattati per le finalità previste e per il periodo strettamente necessario.
Per ogni azienda soggetta alla normativa Privacy è necessario adottare alcuni provvedimenti:
- costituzione dell’organigramma privacy, ovvero tutte le figure interessate nella gestione degli obblighi di legge;
- nomina del Responsabile Protezione Dati, nei casi in cui è previsto dalla normativa;
- stesura delle informative per gli interessati;
- stesura delle modalità di acquisizione dei consensi per gli interessati;
- redazione dei registri nei quali sono riportati i trattamenti dei dati da parte dei Titolari e dei Responsabili Trattamento Dati;
- analisi dei rischi inerenti al trattamento dei dati;
- redazione della valutazione di impatto, nei casi in cui il trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Da ultimo, preme segnalare che il Regolamento Europeo ha innalzato sensibilmente la misura delle sanzioni, che potranno arrivare fino ad un massimo di 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente per violazione di:
- principi base del trattamento tra cui il consenso;
- diritti degli interessati;
- trasferimenti a Paesi extra UE o organizzazioni internazionali;
- norme nazionali su trattamenti speciali;
- inosservanza di un ordine dell’Autorità di Controllo (Garante).