GDPR e Privacy: come mettersi in regola ed effettuare gli aggiornamenti

Spaziottantotto

Tornano le nostre pillole sulla corretta gestione e interpretazione delle normative in materia di Privacy!

Come molti di voi sanno, il 25 maggio 2018 è entrato in vigore il nuovo GDPR, Regolamento Europeo per la tutela della Privacy, e il decreto attuativo è in vigore da agosto! Dunque, il tempo per mettere in atto gli adempimenti richiesti è scaduto, ed è importante verificare che la propria Azienda sia in regola.

Ispezioni e sanzioni

Il mancato adeguamento alla normativa, comporta sanzioni amministrative a carico di imprese fino al 4% del fatturato globale dell’anno precedente.

Per quanto riguarda le attività ispettive, inizialmente il Garante Privacy, in collaborazione con il Nucleo Speciale Privacy della Guardia di Finanza, si occuperà di ispezioni su:

  • trattamenti di dati effettuati dalle banche, con particolare riferimento ai flussi legati all’anagrafe dei conti;
  • trattamenti di dati effettuati dalle Asl, e poi trasferiti a terzi per il loro utilizzo a fini di ricerca;
  • gestione di carte di fidelizzazione da parte delle aziende,
  • rilascio dell’identità digitale ai cittadini italiani (Spid);
  • Sistema Integrato di Microdati (Sim) dell’Istat.

I controlli si concentreranno inoltre su:

  • adozione delle misure di sicurezza;
  • rispetto delle norme su informativa e consenso;
  • durata della conservazione dei dati da parte di soggetti pubblici e privati.

Infine, l’attività ispettiva verrà svolta anche in riferimento a segnalazioni e reclami, con particolare attenzione alle violazioni più gravi.

Cosa fare, dunque, se la propria Azienda non è ancora in regola?

Esistono diverse possibilità, a seconda che siano già state prese delle prime misure tecniche e organizzative per adeguarsi ai provvedimenti, oppure non ancora.

1 – Se non sono mai state effettuate analisi sullo stato di fatto

Occorre contattare un consulente Privacy, per valutare la situazione attuale e pianificare la realizzazione del Manuale e della documentazione obbligatoria.

Il team di Spazio88 include diversi professionisti con competenze sia i ambito giuridico, sia in campo tecnico-ingegneristico e specializzati nelle diverse sfaccettature dell’ambito Privacy: sono i nostri referenti per la formazione e consulenza in quest’ambito. Puoi richiedere la nostra assistenza in qualunque momento, scrivendo a info@spazio88.com!

Una volta affrontate le procedure iniziali, il GDPR (art. 5 co. 2) prevede che la gestione dei dati personali venga affidata ad un soggetto incaricato. Costui si occuperà di:

  • mettere in atto politiche adeguate in materia di protezione dei dati;
  • adottare misure tecniche e organizzative adeguate per garantire e dimostrare che il trattamento effettuato è conforme al regolamento stesso;
  • assicurarsi che tali politiche e misure siano ri-esaminate e aggiornate periodicamente, quando necessario.

2 – Aggiornare la documentazione tecnica e organizzativa

Il riesame delle misure messe in atto non necessariamente deve attendere il periodo di scadenza fissato, ma deve essere eseguito tempestivamente qualora si verifichino cambiamenti significativi del trattamento. Tra i cambiamenti significativi sono inclusi:

  • finalità del trattamento,
  • modalità (es. cambio sede),
  • mezzi (es. passaggio da sistema di elaborazione interno on-premise a esterno in cloud),
  • livello di rischio (es. da medio a elevato),
  • innovazioni delle tecniche di sicurezza,
  • nuove e gravi minacce per la sicurezza,
  • diritti e libertà fondamentali delle persone,
  • ecc.

In ogni caso, l’ENISA – Agenzia Europea per la Sicurezza delle Informazioni, nel suo manuale per il GDPR suggerisce:

  • un riesame almeno annuale per i trattamenti valutati a basso o medio rischio,
  • un riesame almeno semestrale in caso di trattamenti a rischio alto.

Per dimostrare il riesame, occorre documentarlo. Le modalità di documentazione possono essere differenti, ad esempio:

  • verbale o report interno che attesta la revisione, nonché il rilascio mediante pubblicazione, degli eventuali aggiornamenti di documenti;
  • procedure o relazioni in merito all’adozione delle misure tecniche;
  • documentazioni simili.

Inoltre, è opportuno che ognuno di questi documenti riporti i propri riferimenti alle precedenti revisioni (versioning), così da tenere una propria tracciabilità storica, come suggerito dal Garante per la tenuta dei registri delle attività di trattamento:

“Il registro deve essere mantenuto costantemente aggiornato poichè il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute […]. E in ogni caso deve recare, in maniera verificabile, la data della sua prima istituzione […], unitamente a quella dell’ultimo aggiornamento”.

Hai dubbi o necessiti di una consulenza specifica? Scrivi a info@spazio88.com o chiama i nostri uffici al numero 011 4337431! Saremo felici di aiutarti.