Il Regolamento UE relativo alla tutela dei dati personali che è operativo dal 25 maggio 2018 e coinvolge tutte le aziende.
La grande novità normativa consiste nella responsabilizzazione del titolare del trattamento, ossia dell’azienda, che deve adottare misure tecniche ed organizzative adeguate al proprio contesto.
In caso di mancata conformità al Regolamento viene applicato un sistema sanzionatorio pesante che comprende sanzioni penali e sanzioni amministrative fino al 4% del fatturato annuo.
Il Garante della privacy ha previsto un periodo transitorio di 8 mesinel quale i controlli da parte della Guardia di Finanza saranno sostanziali ma meno formali e le sanzioni saranno ridotte. Nei controlli si terrà conto del piano di adeguamento predisposto dall’azienda e del relativo stato di avanzamento.
E’ opportuno che le aziende predispongano un piano di adeguamento definendo le priorità e i tempi.
Adeguamento al regolamento privacy ue 2016/679
Il Regolamento tratta la tutela dei dati personali dei cittadini della UE ed è operativo dal 25 maggio 2018.
Cosa si intende per dati personali
Con il termine dati personali si intendono tutte le informazioni che si riferiscono ad una persona fisica, ad esempio:
- dati anagrafici
- dati di contatto (telefono, cellulare, e-mail, …)
- dati finanziari
- convinzioni politiche, religiose e di altro tipo
- stili di vita, preferenza, abitudini di acquisto
- informazioni sanitarie, sessuali, giudiziarie
- informazioni relative alla sorveglianza sanitaria dei dipendenti
- immagini, riprese di videosorveglianza, geo-localizzazione
- indirizzo IP, contenuto della casella di posta elettronica
Quali aziende sono coinvolte
Tutte le aziende sono coinvolte in quanto trattano dati personali dei dipendenti, collaboratori, clienti e fornitori. Infatti per trattamento si intende qualsiasi operazione effettuata sui dati personali, con o senza strumenti informatici: raccolta, archiviazione, consultazione, modifica, comunicazione, cancellazione, ecc.
Le nuove responsabilità in capo alle aziende
La grande novità normativa consiste nella responsabilizzazione del titolaredel trattamento, quindi dell’azienda, che deve adottare misure tecniche ed organizzative adeguate al proprio contesto. In particolare è stato introdotto il concetto anglosassone di accountability: responsabilizzazione del Titolare del trattamento che deve essere proattivo, adottare misure di sicurezza adeguate al proprio contesto e deve poter dimostrare in ogni momento la propria complianceal Regolamento UE.
Inoltre il Titolare deve comunicare tempestivamente al Garante e agli interessati le eventuali violazioni di dati personali (data breach). Una violazione può consistere, ad esempio nella perdita di dati personali critici, nella alterazione anche involontaria di dati o nella comunicazione di dati personali ad estranei (caso tipico è quello di una e-mail contenente dati confidenziali inviata per errore all’indirizzo sbagliato). Altri casi di violazioni possono verificarsi a seguito di attacchi informatici che sottraggono o bloccano dati. In questi casi al di là dell’obbligo di denuncia vi possono essere ripercussioni in termini di credibilità e immagine aziendale.
Un altro aspetto importante è relativo alla gestione dei nuovi diritti degli interessati che possono chiedere di conoscere quali loro dati vengono trattati, oppure di aggiornarli o di cancellarli. A questi interessati devono essere date riposte esaustive in tempi definiti (entro un mese).
I rischi informatici
Il Regolamento affronta la problematica della sicurezza informatica e in particolare l’esattezza, riservatezza, integrità dei dati.Questi rischi sono esplosi negli ultimi anni a seguito di:
- diffusione dei dispositivi mobili che sono per loro natura più vulnerabili;
- utilizzo di reti non protette;
- attacchi informatici che sono sempre più sofisticati e che mirano a sottrarre informazioni in quanto i dati personali hanno assunto un valore commerciale monetizzabile.
Un’altra tematica, non relativa ai dati personali, ma altrettanto importante per le aziende è quella della sicurezza dei dati aziendali confidenziali e del segreto industrialeche possono essere minacciati dagli attacchi informatici (cybercrime).
Come gestire la problematica della privacy
La materia è articolata e complessa e il sistema sanzionatorio è pesante (sanzioni penali e sanzioni amministrative fino al 4% del fatturato annuo).
Il Garante della privacy ha previsto un periodo transitorio di 8 mesi nel quale i controlli da parte del Garante e della Guardia di Finanza saranno sostanziali ma meno formali, le sanzioni saranno ridotte e nei controlli si terrà conto del piano di adeguamento predisposto dall’azienda e del relativostato di avanzamento.
Il piano di adeguamento
Le fasi di adeguamento sono:
- analisi dello stato di fatto e delle relative compliance
- predisposizione del registro dei trattamenti
- valutazione dei rischi e analisi di impatto con approfondimento delle aree critiche
- sorveglianza sanitaria
- videosorveglianza
- gestione immagini
- geo-localizzazione
- gestione dati biometrici
- posta elettronica e internet
- sito web aziendale e mailing list clienti
- information technology
- stesura e aggiornamento della documentazione
- individuazione dei ruoli e responsabilità
- definizione delle politiche di sicurezza
- implementazione delle misure tecniche ed organizzative
- messa in sicurezza dei sistemi informatici
- procedure per la risposta agli interessati e per la denuncia delle violazioni
- regolamento interno per l’utilizzo della posta elettronica e di internet
- formazione dei responsabili e degli addetti ai trattamenti
- attivazione dei servizi di Data protection officer
- consulenza al titolare e ai responsabili del trattamento
- controllo della compliance normativa
- formazione dei responsabili e degli addetti ai trattamenti
- punto di contatto con il Garante