Privacy

Il 25 maggio 2018 è entrato in vigore il GDPR, il “nuovo” Regolamento europeo (2016/679) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati. In sostanza da maggio 2018 gli obblighi relativi alla “gestione della privacy” sono cambiati.

La novità fondamentale riguarda l’approccio al problema: ogni azienda deve valutare l’adeguatezza della sua modalità operativa rispetto alle nuove regole e stabilire se e che cosa deve modificare o migliorare.

Io propongo un intervento in 3 fasi.

Il 25 maggio 2018 è entrato in vigore il GDPR, il "nuovo" Regolamento europeo (2016/679) e gli obblighi relativi alla "gestione della privacy" sono cambiati.

1. La verifica iniziale è un momento di controllo dello stato di fatto: si verifica che la modalità di gestione dei dati presente in azienda (ex. dati dei dipendenti, dei fornitori, utilizzo sistemi di videosorveglianza o di localizzazione satellitare dei mezzi) rispetti le nuove regole di gestione dei dati personali e, nel caso sia necessario, si definiscono gli interventi di miglioramento/ adeguamento.

2. Oltre agli aspetti operativi, il nuovo Regolamento europeo favorisce o, in alcuni casi, obbliga a predisporre documentazione tecnica specifica (ex. DPIA, registro trattamenti, informative per dipendenti, clienti /utenti, fornitori, lettere di nomina responsabili esterni al trattamento e incaricati al trattamento), che renda immediatamente riconoscibile il rispetto delle regole di tutela dei dati personali imposte dal Regolamento stesso. La mia attività di consulenza si concentra in questa fase sullo sviluppo della documentazione in modo che supporti l’operatività dell’azienda, quindi sia chiara per chi la utilizza e descriva le modalità effettive di gestione dei dati.

3. Il nuovo Regolamento è chiaro sul punto dell’istruzione e formazione del personale che tratta i dati: all’articolo 5 prevede che il datore di lavoro documenti l’istruzione e la formazione di tali lavoratori e l’articolo 29 stabilisce il divieto di trattare i dati da chi non sia stato istruito. Formare il personale incaricato al trattamento dei dati personali in azienda significa renderlo consapevole del suo ruolo e delle procedure di lavoro che deve rispettare e l’attività serve non tanto per evitare sanzioni, ma soprattutto per un un corretto adeguamento dell’organizzazione aziendale alla nuova norma in materia di privacy.

Ti serve un DPO?

DPO sta per Data Protection Officer (responsabile della protezione dei dati previsto dall’art 37 del Reg. UE 2016/679).

DPO sta per Data Protection Officer, è il responsabile della protezione dei dati (privacy) previsto dall'art 37 del Reg. UE 2016/679.

Si tratta di una figura obbligatoria quando:

  • il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (a eccezione delle autorità giurisdizionali che effettuano attività giurisdizionali);
  • le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che per la loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • le attività principali del titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali, reati o a connesse misure di sicurezza .

Il DPO può essere interno o esterno all’azienda e deve possedere competenze giuridiche, informatiche, di gestione del rischio e di analisi dei processi.

I suoi compiti comprendono:

  1. informazione e consulenza al titolare o al responsabile del trattamento e agli incaricati del trattamento degli obblighi derivanti dal GDPR e dalle altre norme relative alla protezione dei dati;
  2. sorveglianza sulla corretta gestione del trattamento in osservanza al GDPR e alle altre norme relative alla protezione dei dati, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. parere, se richiesto, in merito alla valutazione d’impatto sulla protezione dei dati e sorveglianza sul suo svolgimento;
  4. cooperazione con l’autorità di controllo;
  5. punto di contatto per l’autorità di controllo per questioni connesse al trattamento.

Puoi contattarmi senza impegno per un incontro conoscitivo.