GDPR 2016/679 EU – General Data Protection Regulation applicabile in tutti gli Stati membri, nasce per regolamentare la privacy europea in quanto i cittadini e le aziende sentono in pericolo la loro identità, i loro progetti e le loro scelte e nel tempo hanno coinvolto i propri Stati fino a raggiungere il Parlamento Europeo ed ottenere una legge che li tutelasse nei propri diritti.
La SHADOIT CONSULTANCY GROUP ha da sempre ritenuto importante il criterio di privacy e si è adoperata molto velocemente nel mettere in piedi un servizio per le aziende che fosse utile al manager o al professionista per ottemperare all’obbligo di legge, ma prima bisogna che si comprenda in profondità ciò che è importante conoscere per rischi, sanzioni e modalità di trattamento ai quali bisognerà ottemperare (testo di legge europea in originale).
Iniziamo subito con il dire che non sono stati regolamentati solo i dati trattati con la forma digitale ma anche i dati di tipo cartaceo che, a prescindere dal corretto grado di conservazione per posto di archiviazione, devono essere trattati in forma anonima per chi ci osserva preservandoli dalla vista di colui che può trovarsi al di là della vostra scrivania.
L’accortezza da utilizzare per i documenti cartacei, tratta per lo più l’utilizzo di semplici cartelline recanti esclusivamente un codice alfa numerico che ne identifichi la persona o l’azienda coinvolta.
I tipi di dati che il GDPR ( 2016/679 EU) indica come rilevanti per la protezione e loro salvaguardia sono:
- Dati di localizzazione
- Dati anagrafici
- Dati sensibili
- Dati sanitari
- Dati contenuti negli smartphone
- Dati bancari
- Dati contabili (dati di fatturazione etc)
- Dati personali (religione…opinione…etc)
A prescindere dalla denuncia penale alla quale si rischia di andare incontro, c’è da tenere presente che la mancata ottemperanza alla normativa europea in parte o nel suo complesso, comporterà delle sanzioni pesanti e delle responsabilità civili e penali, oltre che l’imposizione immediata all’adempimento medesimo da parte delle forze dell’ordine preposte, nonché verifica amministrativa ed una sanzione che parte da un minimo di 3000 Euro fino ad arrivare a sanzioni più pesanti come un quarto dell’imponibile presente nel bilancio depositato, fino ad un massimo di 20.000.000 di Euro per i casi più gravi.
Nel testo legislativo, spesso si fa riferimento al DPO (Data Protection Officer) che può essere nominato dal manager dell’azienda, senza però sgravarlo dalle sue responsabilità penali e civili.
Il DPO è un supervisore indipendente che dovrà supportare il titolare ed il responsabile informatico aziendale nel garantire ed organizzare la protezione dei dati in conformità al GDPR ( 2016/679 EU), rappresentando per similitudine, un Organismo di Vigilanza.
Il DPO sarà il referente di contatto con l’Autorità Garante per la protezione dei dati personali e non può essere rappresentato dal manager o professionista ma ad egli non potranno essere certamente ascritte responsabilità risarcitorie che rimangono sempre del manager, amministratore, director o professionista.
Il motivo per il quale il DPO deve essere persona esterna all’organico aziendale, è dovuto al fatto che essendo figura indipendente, non potrà subire ingerenze da parte del titolare e non subirà l’assenza di un conflitto di interesse.
Il DPO dovrà sempre iteragire con l’Amministratore di Sistema che è colui che opera direttamente sui sistemi aziendali o del professionista e potranno essere rappresentati da un’unica entità fisica, assicurandosi che vengano sempre improntate tutte le misure minime di sicurezza a partire dai backup, verifica e controllo dei log, le politiche di protezione (firewall, antivirus, antimaleware, antiransomware etc) vengano scrupolosamente rispettate ed esista la conservazione dei prima menzionati log di sistema a comprova dell’efficienza dei sistemi stessi e soprattutto, dovrà essere redatta opportuna documentazione che certifichi ciò che è stato fatto e non di meno dovrà effettuare eventuali comunicazioni di non conformità indirizzandole alla direzione aziendale o al professionista affinché vengano evase in tempi rapidissimi e sempre seguite da risposta scritta che certifichino i tempi stessi nel rispetto del GDPR 2016/679 EU.
Con il GDPR ( 2016/679 EU) vengono introdotte regole più chiare su informativa e consenso:
- Definizione dei limiti al trattamento automatizzato dei dati personali
- Basi per l’esercizio di nuovi diritti
- Criteri per il trasferimento degli stessi al di fuori dell’Unione Europea
- Fissate norme rigorose per i casi di violazione dei dati (data breach)
La normativa si applica a tutte le imprese situate anche al di fuori del mercato Europeo ed interessa sia le imprese/professionisti che trattano servizi, sia quelle che trattano prodotti.
In caso di Data Breach, il titolare, seguendo la normativa del GDPR 2016/679 EU, è tenuto ad informare in modo chiaro ed immediato, tutti gli interessati ed offrire indicazioni su come limitare i danni; potrà decidere comunque sia, di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti oppure se dimostrerà di aver adottato misure di sicurezza adeguate, oppure potrà non darne informazione qualora lo sforzo fosse sproporzionato al rischio, fermo restando che in caso di mancata informazione, se ne assumerà tutte le responsabilità civili e penali.
I nostri consulenti sono a vostra completa disposizione, se siete seriamente interessati non pensateci e contattateci.