Privacy e trattamento dei dati personali

Esperti in tema di privacy, DPO, GDPR e trattamento dei dati personali
Big Data Link Srl è il partner ideale per il tuo business!

Corsi di Formazione in tema di Privacy e GDPR

Il Regolamento Europeo 679 del 2016 entrato in vigore il 25/05/2018, ha previsto che il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è stato opportunamente istruito.

Ogni addetto, dunque, deve essere adeguatamente formato in base alla tipologia di dati personali trattati e all’attività di trattamento che svolge all’interno dell’azienda.

Per questo motivo, la partecipazione a un corso di formazione per la privacy rappresenta adempimento essenziale per assolvere l’obbligo formativo.

Per chi è obbligatorio il GDPR

Il Regolamento Europeo 679 del 2016 va applicato a tutti i soggetti Pubblici e Privati che effettuino il trattamento di dati personali, archiviati in forma elettronica e/o cartacea.

Tra questi soggetti vi sono dunque aziende, avvocati, commercialisti, organismi sanitari, istituzioni scolastiche, comuni e tutti coloro che trattano dati personali, anche mediante l’ausilio di strumenti elettronici.

La tutela della privacy

Il Regolamento ha sostanzialmente introdotto un nuovo approccio in tema di tutela della privacy, basato sulla responsabilizzazione del titolare del trattamento. L’onere della prova della conformità del trattamento grava sui titolari, che attraverso un’analisi preventiva e specifica della quantità e tipologia dei dati trattati mettono in atto le misure ritenute necessarie per garantire il rispetto della normativa. Per questo motivo, si parla, dunque, di accountability e di privacy “dimostrabile”.

Nuovi adempimenti previsti dal GDPR rispetto al codice della Privacy in Italia

Rispetto all’attuale Codice della Privacy (D.Lgs. 196/2003), normativa attualmente in vigore in Italia, il GDPR comporta alcuni nuovi adempimenti:

“Valutazione preventiva d’impatto” e “gestione del rischio” e delle correlate misure di sicurezza.

Questa procedura non è sempre richiesta obbligatoriamente, ma è uno strumento estremamente utile per organizzare le attività e per verificare la corretta applicazione della normativa, in quanto permette di stabilire a priori quando un trattamento può essere rischioso (concetto di privacy by default).

La valutazione, infatti, va realizzata prima di porre in essere il trattamento e successivamente aggiornata, secondo un processo continuativo e costante.

Predisposizione di un registro delle attività di trattamento e dei dati personali raccolti (con una mappatura del trattamento).

Tenuto anche in formato elettronico dal Titolare del trattamento dei dati, tale registro dovrà essere messo a disposizione dell’Autorità Garante qualora lo richieda, così come è previsto dal Regolamento stesso.

L’obbligo di redazione e adozione del registro non è generale: infatti il par. 5 dell’art. 30 specifica che la tenuta del registro non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati, o i dati personali relativi a condanne penali e a reati”

Definizione di nuovi ruoli aziendali connessi alla protezione dei dati personali: il DPO

Vengono introdotte le figure del “data controller” vs l’attuale “titolare” e “data processor” vs l’attuale “responsabile” ed “incaricato”. Tutte le nuove figure, in caso di inadempienza al regolamento, avranno responsabilità dirette di fronte alla Legge.

Una nuova figura prevista è quella del Data Protection Officer (DPO) che, in assenza di conflitti di interesse ed in piena indipendenza (es. nomina esterna), si occuperà di verificare l’attuazione e l’applicazione del Regolamento, fornire pareri sulla valutazione d’impatto (PIA), fungere da contatto diretto per qualsiasi problema degli interessati rispetto all’esercizio dei loro diritti e verso il Garante. La nomina non è sempre obbligatoria, ma comunque spesso opportuna, perché si tratta di un soggetto, dotato di esperienza e competenze specifiche, tenuto ad occuparsi specificamente dell’attuazione del Regolamento e a garantire la corretta applicazione della normativa all’interno della struttura e dell’organizzazione aziendale.

Lo scopo del GDPR: maggiore trasparenza nella gestione dei dati.

I diritti del cittadino

Il Regolamento è ispirato ad una maggiore trasparenza nella gestione dei dati ed è finalizzato a dare un maggiore controllo al cittadino sull’utilizzo dei suoi dati. In particolare è riconosciuto:

il diritto di essere informati in modo trasparente e dinamico sui trattamenti effettuati sui dati e l’adozione di politiche privacy e misure adeguate in conformità al Regolamento (principio di accountability- obbligo di rendicontazione);
il diritto di accesso ai dati, che si configura quale diritto del soggetto interessato di richiedere e ottenere dal titolare del trattamento informazioni sul trattamento di dati personali che viene effettuato. A tale diritto si applica il principio della gratuità;
il diritto di essere informati sulle violazioni dei propri dati personali (data breach). Tale comunicazione deve essere fatta anche al Garante;
il diritto di ricevere in un formato di uso comune, e leggibile da dispositivo automatico, i dati personali forniti a un titolare del trattamento e di trasmettere tali dati a un altro titolare del trattamento senza impedimenti (portabilità dei dati);
il diritto all’oblio, come diritto dell’interessato a veder cancellati i dati personali che lo riguardano;
il diritto alla limitazione dei dati, che devono essere trattati solamente per le finalità previste e per il tempo strettamente necessario.

GDPR: le sanzioni

L’importanza del rispetto del regolamento è dimostrato dall’entità delle sanzioni previste, che nel peggiore dei casi possono arrivare fino a 20.000.000 euro, o fino al 4% del fatturato mondiale totale annuo sull’esercizio precedente.

Riepilogando: gli aspetti salienti e l'offerta di Big Data Link

Il GDPR (General Data Protection Regulation) in materia di privacy ha introdotto norme relative a:

informativa: i dati identificativi del titolare del trattamento (o suo rappresentante), nonché i dati di contatto del responsabile della protezione dei dati, le finalità del trattamento cui sono destinati i dati personali, l’identificazione dei destinatari;
consenso: deve essere libero, specifico, informato e manifestato attraverso “dichiarazione o azione positiva inequivocabile”, quindi non potrà mai essere tacito o presunto e il titolare del trattamento deve essere in grado di dimostrare che l’interessato abbia prestato il consenso a uno specifico trattamento;
limiti al trattamento automatizzato dei dati personali;
sanzioni in caso di violazione dei dati personali.

Punti salienti della normativa sono la gestione degli adempimenti richiesti dal Garante e l’adeguamento alle misure minime di sicurezza, nonché l’apparato sanzionatorio e il contenzioso.

Con la nuova normativa vi può essere l’obbligo di nominare un Data Protection Officer (DPO) ossia un Responsabile della protezione dei dati sensibili trattati con specifici compiti.

Big Data Link informa e fornisce consulenza al titolare e al responsabile del trattamento nonché ai dipendenti degli obblighi derivanti dal regolamento; sorveglia sull’osservanza del regolamento mediante la tenuta di un registro in cui sono contenute le attività di trattamento; sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e attività di controllo; funge da punto di contatto e collabora con l’Autorità Garante per la protezione dei dati personali; controlla che le violazioni dei dati personali siano documentate, notificate e comunicate.

La notifica preventiva al Garante

Di particolare importanza è la Notifica Preventiva al Garante e la redazione della DPIA (Data Protection Impact Assessment), oltre alla predisposizione del Registro dei trattamenti che costituiscono i documenti di base che descrivono come l’azienda predispone il trattamento dei dati sensibili.

Big Data Link fornisce assistenza anche per la modifica di tutta la modulistica utilizzata in ambito aziendale per rispettare la normativa sulla privacy e viene fornita l’assistenza tecnica e informatica per la predisposizione di tutti sistemi di sicurezza e di rete su tutti i dispositivi informatici.

Contattaci

Lascia un messaggio