GDPR e informatica: come evitare le nuove sanzioni 2019
Lo scorso 25/05/2018 è entrato in vigore il nuovo Regolamento Generale sulla Protezione dei Dati (GDPR) che definisce regole uniche per il trattamento di dati effettuati nel territorio dei Paesi Membri dell’Unione Europea. La portata del cambiamento è profonda poiché introduce doveri e figure nuove ed anche l’informatica riveste un ruolo di rilievo.
Nonostante sia passato quasi un anno dalla piena presa di efficacia della normativa europea sulla privacy, le ultime stime riportano una percentuale esigua di soggetti realmente conformi alle nuove regole.
Il decreto GDPR italiano: fine periodo di tolleranza
In seguito all’entrata in vigore del regolamento europeo, in Italia è stato introdotto il decreto legislativo 101/2018 il quale novella la legge 196/2003, la vecchia normativa privacy già in vigore dal 2003. Con il nuovo decreto l’Italia conferma quanto stabilito dal GDPR europeo ed aggiunge alcune procedure minime e una formazione obbligatoria agli incaricati. Di seguito trattiamo nel dettaglio i vari aspetti introdotti quest’anno.
Il nuovo decreto stabilisce inoltre che il 15 maggio 2019 scadranno gli 8 mesi di “tolleranza”, ovvero il periodo di ammorbidimento delle sanzioni previste dal GDPR. Quindi da quella data in poi in caso di controlli da parte degli enti preposti, saranno applicate sanzioni amministrative e penali caso di inadempienze. In particolare le sanzioni amministrative pecuniarie di maggiore entità possono arrivare a 20 milioni di euro per i singoli e fino al 4% del fatturato mondiale annuo per le aziende.
Ad un recente convegno di Confcommercio, il Comandante del Nucleo Privacy e Frodi Tecnologiche della Guardia di Finanza, Marco Menegazzo, ha confermato la volontà di attivare in modo sistematico il suo nucleo ispettivo per l’effettuazione di controlli in materia di privacy a partire dal 16 maggio. (Fonte: Privacy Italia)
Come una PMI può adeguarsi al GDPR
In questo complesso scenario molte aziende non risultano realmente conformi a queste nuove regole. Spesso si limitano all’acquisto di software specifici o alla redazione di apposita modulistica. In realtà la portata del cambiamento è profonda e, introducendo doveri e figure nuove, va affrontata su piani differenti e integrati: legali, organizzativi e tecnologici.
Di seguito indichiamo nel dettaglio gli adempimenti a cui ogni azienda è obbligata ad attenersi:
-
Adempimenti legislativi:
- Registro dei trattamenti – definisce le modalità di conservazione dei dati, le misure di sicurezza applicate, le informazioni di dettaglio, le finalità dei trattamenti dei dati e individua i responsabili esterni al trattamento e gli incaricati interni.
- Nomine dei responsabili e dell’incaricato del trattamento – è un contratto che disciplina i rapporti tra il titolare del trattamento e il responsabile. Quest’ultimo fornisce le garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dati.
- Informativa privacy lavoratori – è una comunicazione personale rilasciata a tutti i dipendenti/collaboratori in cui sono descritte le modalità con cui sono trattati i dati personali in azienda.
- Disclaimer email, newsletter e form – rappresentano apposite diciture da riportare al piede di ogni email aziendale, sul proprio sito web e in ogni form di richiesta informazioni. Queste informative illustrano le modalità di trattamento delle informazioni contenute nelle email, nelle newsletter e sulle modalità di utilizzo delle informazioni raccolte nei form.
- Informativa cookie policy e privacy – sono diciture da riportare sul proprio sito web che informano ogni visitatore sui cookie utilizzati nel sito e sulle modalità di utilizzo dei dati personali.
- (2019) Corso obbligatorio incaricati privacy – definisce nel dettaglio i ruoli di responsabilità in azienda ed è obbligatorio ai fini del decreto legislativo. Al termine del corso è necessario richiedere un attestato di partecipazione al fine di dimostrare l’effettiva partecipazione al corso stesso.
-
Adempimenti organizzativi:
- Modello organizzativo per la protezione dei dati personali – definisce le responsabilità e l’organigramma privacy in azienda. E’ il documento master che raccoglie tutte le azioni, i documenti prodotti e i rischi privacy elevati.
- Elenco degli incaricati privacy – definisce l’elenco delle persone interne all’azienda e relativi responsabili d’ufficio formalmente autorizzati a trattare dati personali.
- Mansionario privacy – illustra le procedure privacy che gli incaricati al trattamento dati devono osservare nello svolgimento delle proprie funzioni in azienda.
- Regolamento di utilizzo dei sistemi informatici – definisce le linee guida di utilizzo degli strumenti informatici da adottare a tutela degli eventi di rischio.
- Raccolta CV e consenso dati personali – regolamenta la ricezione, il trattamento e la conservazione dei curriculum vitae dei candidati.
- (2019) Data breach, procedura marketing e esercizio dei diritti – la procedura data breach è necessaria per definire e regolamentare le modalità da attuare qualora si debba notificare all’autorità di controllo la violazione di dati personali; le procedure marketing definiscono l’utilizzo dei dati personali nelle tipiche attività di marketing; l’esercizio dei diritti è una procedura necessaria per definire e regolamentare le modalità da attuare qualora l’interessato richieda informazioni circa il trattamento, la conservazione e/o la cancellazione dei suoi dati personali detenuti in azienda.
-
Adempimenti tecnologici:
- (2019) Risk analysis degli asset informatici – definisce le contromisure informatiche aziendali e le norme comportamentali a tutela di eventi di rischio.
- (2019) Misure di sicurezza informatiche e adozione delle contromisure a prevenzione del rischio – illustra nel dettaglio le contromisure che un’azienda adotta relativamente ai rischi GDPR (elencati nella risk analysis).
Immagine: principi delle ispezioni della Guardia di Finanza 2019.
Il webinar
La nostra azienda, insieme ad Avvocati specialisti e DPO, ha studiato la tematica nel complesso e ha organizzato un webinar mirato ad illustrare in modo pratico i passi fondamentali che una piccola-media impresa deve compiere per non incorrere in sanzioni.
La partecipazione al webinar è gratuita previa registrazione. Per permettere a tutti di prenderne parte trasmetteremo il webinar in diverse date e i contenuti verranno condivisi con tutti gli iscritti.
Vi invitiamo a cliccare il link sottostante per confermare la vostra presenza:
La soluzione
Per supportare le PMI con la normativa GDPR abbiamo studiato una soluzione che comprende:
- la formazione al cliente
- la redazione di tutta la modulistica necessaria
- l’adozione delle contromisure tecnologiche obbligatorie
- l’assistenza necessaria per mettersi in sicurezza.