Dal 25 maggio 2018 è entrato in vigore il nuovo Regolamento Europeo n. 679/2016, in materia di tutela dei dati personali e sensibili (n.d.r indicati successivamente come “dati”), nonché privacy, siglato GDPR (General Data Protection Regulation).
Per essere in regola con le nuove norme non bastano soluzioni “last-minute” e tempi record per sistemare integralmente le procedure e le modalità di trattamento e conservazione dati: ci vuole metodo e pazienza, l’importante è saper dimostrare che la strada verso il GDPR 2018 è intrapresa.
Da tenere ben presente è che non è necessario modificare tutti i contratti, informative, moduli antecedenti al 25 Maggio 2018 ma adeguarli alla nuova normativa europea. A tal proposito è sempre utile formare ed informare gli stakeholders (n.d.r. tutti coloro che hanno a che fare e trattano i dati).
Novità del GDPR
Il regolamento in sé e per sé traccia una strada già presente in questi ultimi anni, semplicemente la regola e “pretende” che tutti si adeguino ad essa.
GDPR 2018 introduce norme molto più intransigenti e specifiche per l’utilizzo e la conservazione dei dati dei clienti. La novità che ha maggiore rilievo rispetto alle altre è l’introduzione di penalizzazioni più severe per coloro che mettono a rischio i dati delle persone, o che violino i loro diritti, con sanzioni fino a 20 milioni di euro, o con sanzioni pari al 4% sul fatturato totale dell’esercizio. Da tenere ben presente è che attualmente con “privacy” s’intende protezione di qualcosa e non eliminazione di qualsiasi traccia.
A chi si rivolge
Il nuovo regolamento europeo si rivolge nello specifico a liberi professionisti, aziende, associazioni od organizzazioni che abbiano sede nella Comunità Europea, enti pubblici, gruppi imprenditoriali e chiunque abbia a che fare con dati ed informazioni personali dei cittadini dell’Unione Europea.
Passo per passo…
Ma come si può realmente essere conformi al nuovo Regolamento Europeo sulla privacy? Ecco spiegati i passaggi “step by step” per accertarsi della regolarizzazione totale alle nuove norme.
- Analisi dei dati
Per una corretta regolarizzazione conforme al nuovo Regolamento Europeo sulla privacy, è necessario analizzare la tipologia dei dati e la loro privacy attuale, prestando attenzione soprattutto alle parti coinvolte; analizzare in seguito le procedure di gestione e conservazione dei dati (cartacei o informatici) sarà il passo successivo. Infine, bisogna analizzare i sistemi utilizzati per la conservazione dei dati, con i sistemi di anti intrusione, e valutare con estrema cura ed attenzione la loro vulnerabilità.
- Progettare un nuovo piano di privacy
Come secondo “step”, è fondamentale creare una strategia di conformità alle normative di privacy: bisogna progettare dei piani di implementazione di sicurezza, stabilendo le priorità di essi. È consigliabile creare una roadmap che includa tutti i possibili rischi aziendali.
- Predisporre i protocolli
A seguito di un’accurata e meticolosa analisi, bisognerà predisporre i protocolli necessari, per regolarizzarsi a pieno ai nuovi requisiti sulla privacy. In primo luogo, è richiesta la predisposizione dell’accesso facile ed efficiente al cliente ai suoi stessi dati, per una possibile modifica, o controllo o cancellazione. Sarà necessario inoltre elaborare procedure di immediata comunicazione in caso di violazione dei dati all’Autorità competente.
- Operare
Una volta controllate tutte le nuove norme del Regolamento Europeo sulla privacy, analizzate le varie tipologie di dati personali precedentemente posseduti dall’azienda, e predisposto tutti i protocolli, bisogna agire: è necessario sviluppare le metriche GDPR e gli schemi di reporting, per poter monitorare e gestire al meglio il ciclo di vita delle informazioni. Tramite le analisi forensi, la gestione dei dati è fondamentale per individuare e risolvere i possibili problemi. È importante anche saper comunicare l’efficacia dei nuovi programmi agli stakeholder.
- Verificare
Verificare la conformità una volta apportate tutte le modifiche necessarie per essere regolari al nuovo Regolamento sulla privacy. Documentare il programma di sicurezza è un’ottima soluzione per effettuare una verifica costante.
Comunicazione immediata della violazione
In caso di dispersione accidentale di dati personali e sensibili di un cliente, si hanno al massimo 72 ore per poterlo comunicare al Garante Privacy.
Per qualsiasi informazioni potete rivolgervi e contattare lo Studio dell’Avvocato Ruggiero.