NUOVA PRIVACY – GDPR 25 MAGGIO 2018

Il 25 maggio 2018 entrerà in vigore il Regolamento UE 2016/679 del Parlamento Europeo con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GDPR).

 

Ai sensi dell’art. 5, comma 2, del GDPR il titolare dei dati (l’azienda) è responsabile del rispetto dei principi applicabili al trattamento e ai sensi  dell’art. 24, comma 1, deve essere in grado di dimostrare che il trattamento effettuato è conforme al regolamento.

 

Il Regolamento Generale sulla Protezione dei Dati richiede di intervenire coordinando competenze diverse: legale, tecnico-informatica, e gestionale-organizzativa.

 

Le aziende che trattano dati sono chiamate a valutare le nuove norme con attenzione: il Regolamento prevede sanzioni che, per le violazioni più rilevanti caratterizzate da elementi di particolare gravità, arrivano fino a 20 milioni di euro o, se superiore, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

 

Open mette a disposizione il proprio Privacy Team formato da specialisti con competenze legali e ingegneristiche.

 

Contattando il  nostro Ufficio Studi Open, Vi verrà proposto un incontro di prima valutazione degli adempimenti.

 

 

Programma attività

 

1. il processo di adeguamento deve iniziare valutando le modalità con le quali vengono adempiuti gli obblighi imposti dalle norme attualmente vigenti al fine di individuare le misure da implementare.

In particolare, si devono valutare:

1. le diverse tipologie di processi che implicano il trattamento di dati personali (rapporti con clienti, fornitori, dipendenti ed altri collaboratori ed eventuali modalità ulteriori) e per ciascuno di essi, le tipologie di dati trattati e le modalità del loro trattamento (finalità, interessi perseguiti, destinatari, fonti ecc.) nonché le modalità di attuazione degli adempimenti previsti dalle vigenti norme in materia di privacy (informativa, consenso, sicurezza, ecc.);
2. le risorse con le quali si procede al trattamento di dati (di proprietà o di terzi) e, per ciascuna di esse il luogo in cui sono localizzate e le misure di sicurezza previste;
3. le persone ed enti che condividono le scelte sulle finalità e le modalità di trattamento e/o collaborano al trattamento di dati e, per ciascuno di essi la relativa documentazione contrattuale.
4. Il livello di rispetto dei principi previsti dall’art. 5 del GDPR:

• liceità, correttezza e trasparenza;
• limitazione della finalità;
• minimizzazione dei dati;
• esattezza;
• limitazione della conservazione;
• integrità e riservatezza.

2. In secondo luogo sarà necessario valutare le misure da integrare ai sensi del GDPR:

• fornire l’informativa agli interessati (artt. 13 e 14 del GDPR),

• gestire le richieste degli interessati (artt. 15-22 del GDPR),

• conseguire l’adeguatezza delle misure tecniche ed organizzative (artt. 25 e 32 del GDPR).

3. In terzo luogo si dovrà valutare se e quando sia necessario:

• tenere il registro delle attività di trattamento (art. 30 del GDPR),
• eseguire la notifica al Garante della Privacy e la comunicazione all’interessato (artt. 33 e 34 del GDPR),
• eseguire la valutazione d’impatto sulla protezione dei dati (art. 35 del GDPR),
• eseguire la consultazione preventiva (art. 36 del GDPR),
• designare il responsabile della protezione dei dati personali (art. 37 del GDPR),
• conseguire il rispetto delle condizioni di liceità del trasferimento dei dati all’estero (artt. 44-50 del GDPR),
• redigere accordi con i contitolari del trattamento (art. 26 del GDPR) e contratti o altri atti giuridici con i responsabili del trattamento (art. 28 del GDPR),

(e, ove necessario, eseguire queste attività documentandone l’esecuzione).

 

4. Infine, è utile valutare se e quando aderire a codici di condotta (art. 40 GDPR) e/o realizzare certificazioni (art. 42 GDPR).