Il Regolamento generale sulla protezione dei dati (Regolamento UE 2016/679) offre un quadro di riferimento in termini di compliance per la protezione dei dati in Europa, aggiornato e fondato sul principio di responsabilizzazione (accountability).
Il Regolamento introduce regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’UE e per i casi di violazione dei dati personali (data breach).
Il Regolamento introduce nuovi istituti, come il diritto all’oblio e alla portabilità dei dati, stabilisce criteri volti a responsabilizzare imprese ed enti in materia di protezione dei dati personali e introduce agevolazioni per chi si conforma alle regole di tutela dei dati.
Il Regolamento non contiene una normativa differenziata in ragione dello status di titolare del trattamento pubblico o privato e non contiene norme specificamente dedicate al settore pubblico.
Il Regolamento punta a rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini dei Paesi dell’Unione Europea.
Vi sono nuove figure nel c.d. organigramma privacy, con profili e responsabilità differenti. In primis, il Data Protection Officer (DPO), nuovo riferimento per le imprese e le pubbliche amministrazioni, per utenti e clienti, e interfaccia per le autorità garanti. Tale figura è prevista come obbligatoria in ipotesi specifiche, mentre è facoltativa negli altri casi.
Sono poi aumentate in maniera incisiva le sanzioni in caso di violazioni della normativa. È onere delle imprese e delle P.A. provvedere agli adempimenti introdotti o revisionare e integrare quelli previgenti al fine di adottare un vero e proprio Modello di gestione della privacy, che sia idoneo a fornire adeguate garanzie sia per i Titolari dei trattamenti che per gli interessati al trattamento del dato.
In applicazione del Regolamento europeo – GDPR n. 679/2016 – qualsiasi attività economica (Società, Ente, Associazione, Fondazione) che tratta dati personali (es. dati di dipendenti, clienti, persone fisiche ecc.) deve predisporre adeguati controlli in materia di sicurezza degli stessi, sulla base di quanto specificato dal Regolamento, provvedendo, a titolo esemplificativo, a:
– individuare il titolare del trattamento dei dati personali;
– designare i responsabili del trattamento dei dati personali;
– designare e verificare l’operato degli amministratori di sistema;
– rilasciare le apposite informative per il trattamento dati;
– richiedere preventivamente il consenso al trattamento dei dati (clienti, fornitori, dipendenti, collaboratori, stagisti);
– provvedere alla valutazione dell’impatto sui sistemi, se del caso, mediante un’analisi del rischio in merito al trattamento dei dati;
– adottare idonee misure di sicurezza;
– redigere o aggiornare le policy interne ed esterne sull’uso degli strumenti informatici aziendali e privati;
– provvedere alla tenuta e aggiornamento del Registro delle attività di trattamento;
– attuare una formazione specifica.
Lo Studio offre assistenza nella realizzazione di un sistema di compliance coerente con i dettami del G.D.P.R., supportando le imprese nella valutazione dei rischi correlati alla propria attività rispetto ai rischi di violazione del dato e dei diritti e libertà delle persone fisiche, nella predisposizione dei documenti societari e nella formazione specifica in materia.