IL GDPR È ALLE PORTE: SEI PRONTO ALLA RIVOLUZIONE?

Il 25 maggio 2018 segnerà l'inizio di una nuova era per ciò che concerne la tutela dei dati personali e le norme che ne regolamentano il trattamento da parte di Organizzazioni Pubbliche e Private. In questa data entrerà infatti in vigore il General Data Protection Regulation (meglio noto come GDPR), ovvero il nuovo Regolamento Generale sulla Protezione dei Dati (UE 2016/679).

Il GDPR introduce nuovi diritti, responsabilità, doveri e misure, ma soprattutto impone alle Aziende un nuovo modello organizzativo che contempli il trattamento dei dati personali all'interno del processo produttivo. Tale modello è volto, da un lato, ad assicurare all'utente una maggiore protezione dei propri dati personali e un maggior controllo sulle informazioni che lo riguardano, dall'altro a fornire alle Organizzazioni Pubbliche e Private linee guida e strumenti certi e condivisi per trattare in maniera più sicura e trasparente tali informazioni, traendone il maggior beneficio possibile in termini di business senza ledere la privacy dell'utente.

Per aiutare le Organizzazioni Pubbliche e Private a conformarsi al GDPR nei tempi previsti dal nuovo Regolamento, Net Service propone un servizio strutturato in fasi che parte dal censimento dei dati trattati, dall’analisi dei processi aziendali coinvolti e dalla valutazione delle esigenze del Cliente, per poi proseguire con un supporto concreto all'implementazione delle modifiche necessarie.

Approvato dal Parlamento Europeo nell’aprile del 2016, in Italia il GDPR andrà ad assorbire parte del Codice della Privacy attualmente in vigore (D.Leg 196/2003), aggiornando contemporaneamente la Direttiva 95/46/Ce, non più idonea a garantire un trattamento trasparente delle informazioni nell’era di Internet e dei Big Data.

L'obiettivo della normativa è duplice: da un lato, armonizzare le leggi sulla privacy e sulla riservatezza delle informazioni di tutti i Paesi Europei, dall'altro garantire all'utente una maggior trasparenza e sicurezza nel trattamento dei dati sensibili processati da Aziende ed Enti Pubblici.

Si tratta di un primo, importante traguardo in materia di standardizzazione delle politiche europee sulla privacy, a cui tutti coloro che trattano dati personali sono obbligati ad attenersi, adeguando i propri processi aziendali, le proprie infrastrutture IT e le proprie attività di marketing prima dell'entrata in vigore della normativa.

Il General Data Protection Regulation (GDPR) introduce infatti un nuovo quadro di obblighi e misure, valide in ogni scenario di business e applicabili nel settore sia pubblico sia privato, che devono essere rispettate non solo dalle Organizzazioni con sede in Unione Europea, ma anche dalle Organizzazioni non comunitarie che offrono servizi e/o effettuano attività di monitoring in ambito UE.

La normativa interessa tutti quei soggetti e Organizzazioni del settore pubblico o privato che, nell'ambito delle loro attività, devono trattare (anche in maniera automatizzata) i dati personali di terze parti, siano essi dipendenti, clienti, studenti, utenti o fornitori.

Viene inoltre introdotto il principio di applicabilità del diritto dell’Unione Europea anche ai trattamenti di dati personali non processati all'interno del territorio comunitario. Ciò avviene quando i dati si presentano connessi all’offerta di beni o servizi a cittadini dei Paesi dell'Unione oppure tali da comportare il monitoraggio dei loro comportamenti.

L'applicabilità della normativa dipende quindi dalla natura del trattamento e non più dal luogo in cui ha sede il Responsabile del Trattamento o dalla dimensione dell'azienda.

Rispetto al D.lgs 196/2003, con il GDPR la privacy diventa un processo aziendale da gestire in ogni sua fase, un elemento intrinseco, il presupposto base di ogni attività di trattamento. Ciò significa che richiederà alle Aziende un nuovo modello organizzativo e nuove procedure. Il dato personale assume infatti valore in quanto tale, diventando motore di sviluppo e il centro propulsore della nuova economia nascente.

Cambiano pertanto i connotati dell'informativa e le modalità di raccoglimento del consenso al trattamento dei dati personali, che divengono più intellegibili e facilmente accessibili, e vengono introdotti nuovi strumenti, procedure e figure professionali al fine di aumentare la protezione dei dati trattati, favorire la trasparenza e prevenire o gestire i rischi derivati dagli attacchi cyber.

Si inaspriscono inoltre le sanzioni in caso di violazione e, per la prima volta, vengono regolamentati la gestione e il trasferimento dei dati personali di cittadini UE anche quando sono processati al di fuori dell'Unione Europea.

Riassumendo, la nuova normativa europea in materia di privacy e trattamento dei dati personali prevede un aumento non solo delle misure da adottare per le Organizzazioni e degli obblighi per i Responsabili del Trattamento, ma anche dei diritti degli utenti. Ecco in sintesi i principali:

Obblighi e doveri per Aziende ed Enti Pubblici

  • Effettuare un'auto-valutazione dei rischi implicati dal trattamento su larga scala dei dati personali qualora la tipologia di trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Tale valutazione deve avvenire fin dal momento della progettazione del processo aziendale e degli applicativi informatici di supporto (Risk Assessment) e conduce alla stesura di un documento, chiamato DPIA (Data Protection Impact Assessment) comprensivo delle eventuali criticità rilevate e del programma di intervento.
  • Redigere un Registro dei Trattamenti qualora l'Organizzazione o Azienda abbia più di 250 dipendenti o i cui trattamenti, di natura non occasionale, possano presentare un rischio per i diritti e le libertà dell’interessato. Tale documento deve essere messo a disposizione, su richiesta dell’Autorità di controllo preposta (Garante), dal Titolare del Trattamento o dal Responsabile del Trattamento, qualora nominato al fine di dimostrare la conformità dell'Organizzazione alle prescrizioni della legge.
  • Designare un DPO (Data Protection Officer), ovvero un Responsabile della Protezione dei Dati, che deve essere una figura altamente qualificata, indipendente e autonoma. L'introduzione della sua figura è obbligatoria nei seguenti casi: quando sia un soggetto pubblico ad occuparsi del trattamento dei dati personali; quando sia previsto il monitoraggio regolare e sistematico degli interessati su larga scala da parte dell'Azienda e/o Organizzazione; quando i dati trattati siano sensibili e/o giudiziari.
  • Pianificare le misure di protezione e organizzazione dei dati fin dalla progettazione dei processi aziendali (Privacy by Design), prevenire raccolte di dati non indispensabili allo svolgimento dei propri obblighi professionali e limitare l’accesso alle informazioni ai soli soggetti coinvolti nell’elaborazione (Privacy by Default)
  • Specificare nelle informative la volontà di utilizzare i dati raccolti ai fini della profilazione. Per condurla è infatti necessario il consenso esplicito dell'interessato.
  • Monitorare le violazioni dei dati personali e dotarsi di coperture assicurative per proteggersi dal cyber risk. L’obbligo ricade sul Responsabile del Trattamento, che può decidere di dotarsi di software di monitoraggio (o sentinella).
  • Segnalare all’Autorità competente, entro le 72 ore, eventuali violazioni dei dati personali trattati e se gravi, ovvero tali da risultare lesivi per i diritti e le libertà dei diretti interessati, anche a questi ultimi (Data Breach Notification). L’obbligo ricade sul Responsabile del Trattamento.

I diritti dell'utente

  • Diritto di accesso ai propri dati (per conoscere finalità del trattamento, destinatari, periodo conservazione, ecc)
  • Diritto di rettifica e di integrazione dei dati personali incompleti
  • Diritto all'oblio (Right to be Forgotten) o diritto alla cancellazione dei propri dati personali (già in vigore dal 2014)
  • Diritto alla portabilità del dato (Data Portability)
  • Diritto di revocare il consenso a determinati trattamenti
  • Diritto di far reclamo presso un'autorità di controllo

Le sanzioni

Con l'introduzione del GDPR si inaspriscono le sanzioni per le violazioni delle norme che regolano il trattamento dei dati personali. Queste possono raggiungere un massimo di 20.000.000 € per i privati e fino al 4% del fatturato complessivo (consolidato) per le imprese.

GDPR: AFFIDATI A NET SERVICE

Forte di un'esperienza ventennale nel settore IT, Net Service ha sviluppato un'apposita metodologia di intervento per aiutare i propri Clienti nel cammino verso il GDPR.
Si tratta di un processo di compliance al GDPR articolato in tre moduli (Compliance Tecnologica e di Governance dei Dati, Supporto e Consulenza Legale e Messa a norma delle attività di Marketing), utile ad accompagnare le Aziende e gli Enti interessati nella gestione dei cambiamenti metodologici e infrastrutturali necessari per adeguarsi al nuovo regolamento europeo sulla privacy.

Un servizio di compliance con il GDPR garantito da competenze certificate in ambito applicativo, infrastrutturale e legale, che si tradurrà in un approccio personalizzato, aperto alla collaborazione con partner tecnologici, che prevede sia l'integrazione delle best practice nell'ambito di Cyber Security e Data Management, sia l'utilizzo di standard internazionali, come il framework ISO 27001 e ISO/IEC 29134/2017. Il tutto per garantire ai propri Clienti soluzioni modulari, efficaci e flessibili.

Un auditing dei dati e un piano operativo tailor-made che parte dalla definizione del perimetro di analisi e dalla valutazione del modello organizzativo dell'Azienda o dell'Ente richiedente, per poi modulare il tipo di servizio sulla base delle loro reali necessità. A seconda del progetto, Net Service garantirà infatti un team composto da almeno tre figure chiave:

  • Esperto di processo
  • Esperto di sicurezza informatica
  • Esperto legale su GDPR

Queste tre figure verranno coadiuvate sia da strutture di supporto come il Centro di competenza legale e normativa, il Centro di Cyber Security e la Struttura di erogazione ICT certificata, sia da strumenti a sostegno, ovvero software e applicativi di alto profilo e conformi alle direttive impartite dal GDPR.
L'obiettivo è restituire al Cliente un'organizzazione più efficiente, fluida e a norma di legge, nonché una maggiore sicurezza per ciò che concerne sia il patrimonio informativo dell'Organizzazione, sia i dati sensibili delle utenze coinvolte nel trattamento.

Cerchi un servizio di compliance al GDPR?
Net Service può aiutarti

Contattaci