Dal 25 maggio 2018 sarà pienamente applicabile il nuovo Regolamento Europeo sulla Tutela dei Dati Personali, meglio conosciuto come GDPR 679/2016.

Sostituirà l'attuale normativa nazionale in tema di Privacy , ovvero il D.Lgs 196/2003, meglio noto come Codice della Privacy.


Chi riguarda?

Tutti i Titolari di trattamento, ovvero tutti i soggetti che per necessità di esecuzione della propria attività trattano dati personali: associazioni, enti, imprese e professionisti che raccolgono, registrano, conservano, utilizzano, elaborano, comunicano dati relativi a persone fisiche.


Cosa devono fare i Titolari di trattamento?
Dipende dal tipo di trattamento: quanti più dati relativi a persone fisiche (dette "interessati") si trattano, quanto più delicati sono i dati che si trattano (dati sensibili, ora chiamati “dati particolari ex art. 9”), quanto maggiore è il numero di interessati (attività su “larga scala”), tanto maggiore è la quantità e la qualità degli adempimenti necessari.

Questo significa, ad esempio, che un’azienda metalmeccanica che tratta i dati di centinaia di dipendenti e di clienti ha meno adempimenti da affrontare di quanti ne ha un poliambulatorio che gestisce il trattamento di un centinaio di pazienti. Una media azienda di produzione operante nel segmento "b to b" ha meno adempimenti di un Call Center con una decina di addetti.

In ogni caso occorre adeguarsi alla nuova normativa. Effettuare un’analisi dei rischi, predisporre e mantenere aggiornato il Registro dei Trattamenti, effettuare la Valutazione d’Impatto sulla Protezione dei Dati (DPIA), riformulare o adeguare le informative, le designazioni dei responsabili, le autorizzazioni agli addetti al trattamento.

Il Regolamento Europeo non propone "misure minime" di sicurezza, come già nell'allegato "B" del D.Lgs. 196/03, ma prescrive che le misure di sicurezza siano adeguate al livello di rischio di ogni trattamento.

Soprattutto, si applica il principio dell'accountability.

Questo significa che ogni Titolare di trattamento deve in qualsiasi momento dimostrare di avere sotto controllo i trattamenti ed essere in grado di comprovarne la piena conformità al regolamento Europeo


Cosa  rischiano i Titolari di trattamento?

L'ammontare delle sanzioni, che vanno da zero a valori molto massimi molto elevati, sarà determinato da una valutazione di un insieme di fattori fra i quali: la natura, la gravità e la durata della violazione, il numero di interessati lesi dal danno e il livello del danno, il carattere doloso o colposo della violazione, le misure adottate, il grado di cooperazione con le autorità di controllo e molti altri ancora. Le sanzioni possono arrivare fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.


Come possono procedere i Titolari di trattamento?
Prima di tutto è bene non far passare altro tempo: il 25 maggio 2018 è molto vicino e si rischia di non essere pronti, di non essere in regola entro il termine stabilito.

L'approccio suggerito è un’analisi preliminare della struttura, delle caratteristiche, del livello di conformità al Codice della Privacy (assessment) che consenta poi di mappare i trattamenti effettuati, valutare i rischi, determinare la documentazione necessaria e le modifiche di quella esistente. Successivamente si produce la documentazione, si adottano o si adeguano le misure tecniche, organizzative e procedurali necessarie, si forma il personale e si monitora l’andamento e l'efficacia delle misure definite.

Le cose da fare sono molte e il loro onere cambia a seconda dell'attività svolta dal Titolare del trattamento: compito dell'assessment è anche determinare questo.


In concreto?
Se ancora non avete definito un piano di adeguamento al regolamento Europeo, contattateci: valuteremo insieme il più opportuno "GDPR compliance process" per la vostra organizzazione.