Privacy 679/2016 ultima chiamata per l’Italia – PRIVACY 679/2016 EU, già in vigore per gli altri Stati Europei dal 2016 ed in cui ha già trovato piena applicazione laddove l’Unione Europea, per l’Italia, a causa delle problematiche legate ad una crisi persistente di cui la stessa Europa si è fatta carico riconoscendone la dimensione, ha concesso come ultimo termine la data 25 Maggio 2018, creando non pochi problemi alle aziende ed alle associazioni che non ne avevano considerato l’importanza o l’avevano da sempre sottovalutata o snobbata
Privacy 679/2016 ultima chiamata per l’Italia, dove la SHADOIT CONSULTANCY GROUP ha realizzato un servizio atto ad realizzare ed analizzare tutte le procedure di messa a norma per ottemperare al GDPR 679/2016 EU, forte dell’esperienza già maturata in italia per l’ex Decreto Legislativo 196/2003 grazie all’esperienza dei suoi consulenti tecnici provenienti, alcuni, da questo Stato, già preparata ed a conoscenza delle nuove stringenti regole inerenti il trattamento dei dati personali e l’importanza della sicurezza dei dati trattati in digitale, avendo già adottato e stretto le maglie per la salvaguardia degli ambienti operativi esposti ad internet ed a visite di personale aziendale esterno che in nessun caso deve poter osservare visivamente i dati presenti nei sistemi aziendali se non autorizzato.
LA PRIVACY – COSA CAMBIA
In ottemperanza alla Privacy 679/2016 EU, solo il 27% delle Aziende Italiane conosce i nuovi obblighi di legge e molte li hanno sempre considerati superficialmente… dobbiamo sperare non siate tra questi?
Dal 25 maggio 2018, senza periodi intermedi, sarà pienamente operativo il nuovo regolamento europeo sulla privacy GDPR 679/2016 EU.
Le spallucce non sono contemplate in risposta a questa importante notizia e sapete perché?
Perché anche voi dovrete tenere in considerazione la nuova regolamentazione europea inerente i dati personali dei vostri clienti.
L’anno 2016, considerato dagli esperti l’anno più disastroso dal punto di vista della Sicurezza Digitale, ha indotto le autorità competenti a decidere che bisognava intervenire sulla vigente normativa al fine da contenere in qualsiasi modo tutti i rischi provenienti dal mondo del digitale.
Pare che, su una media di 100 aziende, solo 5 possano affermare di avere un sufficiente livello di sicurezza garantendo così coloro che gli hanno affidato i propri dati.
Il 25 Maggio entrerà in vigore il Regolamento Europeo sulla Protezione dei Dati, laddove molte norme rimangono invariate altre vengono rielaborate e alcune sono state introdotte ex novo.
Il GDPR (General Data Protection Regulation) avrà un notevole impatto non solo dal punto di vista tecnologico, ma anche, e soprattutto, dal punto di vista organizzativo e legale.
CONCETTO DI PRIVACY BY DESIGN
Secondo quando affermato da questo principio, in tema di privacy 679/2016, occorre prevenire non correggere, per cui tutte le cautele vanno adottate già in fase di progettazione e non apposte in un secondo momento al verificarsi della mancata tutela; tale considerazione è parte integrante di un concetto ideato nel 2010 e già presente in Canada e negli Stati Uniti di America anche se spesso disattesa da alcune lobbies (vedasi caso Facebook ed altri).
CONCETTO DI PRIVACY BY DEAFULT
Secondo quanto affermato da questo concetto è necessario che tutte le aziende abbiano delle impostazioni predefinite in grado di trattare i dati dei loro clienti solo nella misura sufficiente alle finalità prefissate e rigorosamente nei tempi strettamente necessari al raggiungimento dello scopo le cui impostazioni e tempi siano rigorosamente predefiniti e compresi già in fase di progettazione.
LA VALUTAZIONE DEL RISCHIO
Secondo il GDPR 679/2016 EU, bisogna avere un atteggiamento basato sulla valutazione del pericolo derivante dal trattamento, avere piena coscienza di tutti quelli che sono i trattamenti suscettibili di cagionare un danno fisico materiale o immateriale portando avanti una analisi preventiva ed una attenta valutazione.
LA DPIA (data protection impact assessment)
Si tratta di una procedura in grado di misurare e confermare la idoneità del trattamento con le norme in materia di protezione dei dati personali (Privacy 679/2016 EU).
In realtà bisogna applicarla anche laddove non obbligatoria in quanto si tratta di un metodo estremamente utile per monitorare l’attività in essere.
La sua obbligatorietà è determinata da almeno due dei criteri stabiliti dal regolamento come, ad esempio, nel caso della videosorveglianza e nel caso del trattamento dei dati sensibili.
IL REGISTRO DEI TRATTAMENTI
Tale registro è necessario e riportante i trattamenti effettuati e le procedure di sicurezza adottate non essendo una mera formalità bensì una parte integrante del sistema di corretta gestione dei dati personali.
Per questo al di là della dimensione dell’azienda può essere sempre consigliato dotarsi di tale registro spesso conservato per comoditù sotto forma di foglio di calcolo.
ADOZIONE DI MISURE DI SICUREZZA
Occorre che tutte le strutture adottino dei comportamenti volti a dimostrare concretamente la adozione di misure rivolte ad assicurare la corretta applicazione del regolamento affidando direttamente ai titolari il compito di decidere in maniera autonoma le modalità, le garanzie e i limiti del trattamento dei loro dati secondo il GDPR 679/2016 EU, come anche da noi riportato nelle nostre Legal Info
LA NOTIFICA DELLE VIOLAZIONI DI DATI
Comunemente definita come Data Breach, la notifica avviene ogniqualvolta ci sia una violazione nella procedura di sicurezza che comporta l’accidentale o illecita perdita, modifica, divulgazione o accesso dei dati personali.
Il GDPR 679/2016 EU, stabilisce che i titolari dei trattamenti saranno obbligati ad avvisare l’Autorità di Controllo entro 72 ore e purtroppo ad oggi trascorrono circa 205 giorni tra la violazione dei dati e il momento in cui l’ente o l’azienda o l’associazione ne viene a conoscenza.
La violazione deve essere tale da manifestare un elevato rischio per i diritti e la libertà delle persone (inteso giuridicamente in senso fisico) per il rispetto della Privacy 679/2016 EU.
LE INFORMATIVE
Nel rispetto della Privacy 679/2016 EU tutte le informative dovranno contenere dei nuovi riferimenti e tra le varie modifiche emerge l’introduzione del periodo di conservazione dei dati e dei criteri stabiliti per definirlo.
Trascorso il periodo indicato il dato deve essere cancellato (introduzione del Diritto all’oblio).
In ottemperanza al diritto alla Privacy 679/2016 EU, il tempo di conservazione di un dato è tipicamente legato alle finalità del trattamento e il diritto all’oblio si configura come l’obbligo in capo ai titolari del trattamento non solo di procedere alla cancellazione del dato ma altresì di informare della richiesta di cancellazione gli altri titolari che trattano i dati compresi link o riproduzioni.
DPO – Data Protection Officer
Non tutte le imprese e/o associazioni sono dotate di sistema di videosorveglianza, non tutte le imprese e/o associazioni procedono ad una targetizzazione dei clienti e non tutti svolgono attività di direct marketing ma….tutti trattano i dati personali.
Affrontiamo la questione in maniera generica e secondo quanto traspare dal sito web del Garante, pensando che tra le varie modifiche introdotte a spiccare è il fatto che la nuova normativa sulla Privacy 679/2016 EU responsabilizza fortemente le imprese e/o associazioni dinnanzi alla concreta e corretta applicazione delle norme sancite.
Non dobbiamo temere, si tratta di oneri che riguardano tanti, tanti, tanti altri manager ed ogni impresa e/o associazione, dovrà pertanto avvalersi di un professionista, un consulente, in grado di verificare e indirizzare la struttura in tutti questi adeguamenti legislativi.
Questa nuova figura è il così detto DPO, il Data Protection Officer o il Responsabile per il Trattamento Dati che può essere rappresentato anche dall’Amministratore di Sistema purché soggetto terzo e cioè professionista o rappresentante di altra azienda esperta in sistemi informatici per evitare ingerenze e/o pressioni non desiderate dal rispetto alla Privacy 679/2016 EU.
Il DPO è un professionista già noto in alcuni paesi europei e si tratta di un esperto in ambito informatico, organizzativo e in materia di risk management, essendo garante dell’osservazione, valutazione e gestione del trattamento, conservazione e protezione dei dati personali affinché ciò avvenga in ottemperanza alla normativa nazionale ed europea.
Il Data Protection Officer, deve avere competenze normative, tecniche, comunicative e una profonda conoscenza dell’organizzazione del settore informatico.
LE SANZIONI
Parliamo del severo regime sanzionatorio che interverrà a riguardo:
sono previste sanzioni amministrative molto più aspre rispetto al passato.
Le ammende potranno raggiungere addirittura i 20.000.000 € (milioni di Euro).
I provvedimenti amministrativi entrano in gioco anche nel momento in cui non si ottempera al concetto di Privacy by Design.