Dal 25 maggio 2018 è entrato in vigore il nuovo Regolamento Europeo n. 679/2016, in materia di tutela dei dati personali e sensibili (n.d.r indicati successivamente come “dati”), nonché privacy, siglato GDPR (General Data Protection Regulation).
Per essere in regola con le nuove norme non bastano soluzioni “last-minute” e tempi record per sistemare integralmente le procedure e le modalità di trattamento e conservazione dati: ci vuole metodo e pazienza, l’importante è saper dimostrare che la strada verso il GDPR 2018 è intrapresa.
Da tenere ben presente è che non è necessario modificare tutti i contratti, informative, moduli antecedenti al 25 Maggio 2018 ma adeguarli alla nuova normativa europea. A tal proposito è sempre utile formare ed informare gli stakeholders (n.d.r. tutti coloro che hanno a che fare e trattano i dati).
Il regolamento in sé e per sé traccia una strada già presente in questi ultimi anni, semplicemente la regola e “pretende” che tutti si adeguino ad essa.
GDPR 2018 introduce norme molto più intransigenti e specifiche per l’utilizzo e la conservazione dei dati dei clienti. La novità che ha maggiore rilievo rispetto alle altre è l’introduzione di penalizzazioni più severe per coloro che mettono a rischio i dati delle persone, o che violino i loro diritti, con sanzioni fino a 20 milioni di euro, o con sanzioni pari al 4% sul fatturato totale dell’esercizio. Da tenere ben presente è che attualmente con “privacy” s’intende protezione di qualcosa e non eliminazione di qualsiasi traccia.
Il nuovo regolamento europeo si rivolge nello specifico a liberi professionisti, aziende, associazioni od organizzazioni che abbiano sede nella Comunità Europea, enti pubblici, gruppi imprenditoriali e chiunque abbia a che fare con dati ed informazioni personali dei cittadini dell’Unione Europea.
Ma come si può realmente essere conformi al nuovo Regolamento Europeo sulla privacy? Ecco spiegati i passaggi “step by step” per accertarsi della regolarizzazione totale alle nuove norme.
Per una corretta regolarizzazione conforme al nuovo Regolamento Europeo sulla privacy, è necessario analizzare la tipologia dei dati e la loro privacy attuale, prestando attenzione soprattutto alle parti coinvolte; analizzare in seguito le procedure di gestione e conservazione dei dati (cartacei o informatici) sarà il passo successivo. Infine, bisogna analizzare i sistemi utilizzati per la conservazione dei dati, con i sistemi di anti intrusione, e valutare con estrema cura ed attenzione la loro vulnerabilità.
Come secondo “step”, è fondamentale creare una strategia di conformità alle normative di privacy: bisogna progettare dei piani di implementazione di sicurezza, stabilendo le priorità di essi. È consigliabile creare una roadmap che includa tutti i possibili rischi aziendali.
A seguito di un’accurata e meticolosa analisi, bisognerà predisporre i protocolli necessari, per regolarizzarsi a pieno ai nuovi requisiti sulla privacy. In primo luogo, è richiesta la predisposizione dell’accesso facile ed efficiente al cliente ai suoi stessi dati, per una possibile modifica, o controllo o cancellazione. Sarà necessario inoltre elaborare procedure di immediata comunicazione in caso di violazione dei dati all’Autorità competente.
Una volta controllate tutte le nuove norme del Regolamento Europeo sulla privacy, analizzate le varie tipologie di dati personali precedentemente posseduti dall’azienda, e predisposto tutti i protocolli, bisogna agire: è necessario sviluppare le metriche GDPR e gli schemi di reporting, per poter monitorare e gestire al meglio il ciclo di vita delle informazioni. Tramite le analisi forensi, la gestione dei dati è fondamentale per individuare e risolvere i possibili problemi. È importante anche saper comunicare l’efficacia dei nuovi programmi agli stakeholder.
Verificare la conformità una volta apportate tutte le modifiche necessarie per essere regolari al nuovo Regolamento sulla privacy. Documentare il programma di sicurezza è un’ottima soluzione per effettuare una verifica costante.
In caso di dispersione accidentale di dati personali e sensibili di un cliente, si hanno al massimo 72 ore per poterlo comunicare al Garante Privacy.
Per qualsiasi informazioni potete rivolgervi e contattare lo Studio dell’Avvocato Ruggiero.