Il Regolamento UE 679/2016-GDPR, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE, è divenuto pienamente applicabile, in tutti i Paesi UE, il 25 maggio 2018 ed è volto ad uniformare a livello comunitario il tema Privacy.
Il 19 settembre 2018 è entrato in vigore il D.lgs. 10 Agosto 2018 n. 101 di adeguamento della normativa nazionale alle disposizioni del regolamento UE 679/2016 che contiene modifiche al Codice in materia di protezione dei dati personali di cui al Decreto Legislativo 30 giugno 2003 n. 196.
La nuova normativa tra i vari obblighi, concepisce un quadro normativo incentrato sui doveri e la responsabilizzazione del titolare del trattamento (“accountability”), e chiunque tratti dati personali (di clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci, associati ecc…) ha l’obbligo di adeguarsi: aziende, professionisti, cooperative, associazioni, p. a., scuole, comuni, ospedali, enti pubblici ecc.
Il Titolare del trattamento come il Responsabile del trattamento (laddove previsto) sono chiamati a mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza e trasparenza adeguato al rischio.
Alla luce di ciò, l’adeguamento al GDPR non può essere rappresentato da un’azione definita ma è rappresentato da un processo in divenire teso a modificare la cultura stessa relativa alla privacy, muovendo dagli assunti della privacy by design.
Data l’ampiezza del perimetro di impatto del GDPR a livello aziendale, è necessario un approccio strutturato e comprensivo di tutte le leve su cui è possibile agire in relazione all’obiettivo di adeguamento.
Ovviamente gli adempimenti sono diversi a seconda delle dimensioni, della struttura e della tipologia di trattamento dati.
I servizi
Assistenza all’utente per la corretta applicazione di tutta la materia di cui trattasi:
Identificazione della struttura dell’azienda per la stesura della documentazione (settore di attività, sedi, sedi distaccate, presenza di consulenti esterni o di figure particolari); verifica dei sistemi di protezione ed accesso ai locali ed alle banche dati (sistemi antifurto o anti intrusione, video sorveglianza, estintori, serrature sugli armadi contenenti dati); identificazione della tipologia di dati trattati (personali, categorie particolari di dati, dati giudiziari, cartacei o elettronici); identificazione dei flussi di dati cartacei all’interno dell’azienda; identificazione dei flussi di dati cartacei trattati all’esterno della struttura (studi di consulenza fiscale, contabile, del lavoro, partner); identificazione dei flussi di dati informatici in entrata ed in uscita dell’azienda (e-mail, fax in formato elettronico, scambio di file contenenti dati personali per via telematica); Individuazione del Titolare, dei Responsabili, degli Autorizzati al trattamento dei dati personali; valutazione nomina DPO.
Predisposizione della documentazione necessaria all’azienda: registro dei trattamenti, nomina dei responsabili, nomina degli autorizzati del trattamento dei dati, regolamenti e documenti interni sulla sicurezza dei dati, misure di sicurezza, informative per clienti, dipendenti, ecc., moduli per ricevere il consenso al trattamento dei dati, valutazione d’impatto (qualora necessaria), aggiornamento dei suddetti documenti in seguito ad eventuali modifiche aziendali (cambio del personale, cambio di mansione, variazioni nelle procedure lavorative, modifiche nella distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati, ecc..).Predisposizione procedure per il Data Breach, procedure per l’esercizio dei diritti degli interessati.