Premessa – il nuovo Regolamento (UE) 679/2016
In data 04.05.2016 è stato pubblicato sulla Gazzetta Ufficiale il nuovo regolamento europeo sulla privacy.
Il 25.05.2018 entrerà in vigore, divenendo esecutivo, il nuovo regolamento europeo sulla privacy (Reg Ue 2016/679).
Il Regolamento sarà esecutivo ed applicabile in tutta l’UE e sostituirà in gran parte le attuali normative statali in materia di privacy (in Italia quindi l’attuale Codice Privacy – d.lgs. 196/03).
In base al suddetto Regolamento, imprese ed enti dovranno pertanto adeguare la propria organizzazione, processi, documenti e sistemi informativi alle disposizioni dello stesso, dopo di che potranno essere comminate: multe fino a 20 mln di euro o al 4% del fatturato dei trasgressori oltre a sanzioni penali.
Si hanno quindi ora pochi mesi a disposizione per fare ordine nei sistemi di gestione privacy ed approntare tutte le misure necessarie per permettere all’adeguamento.
Le modifiche introdotte dal Regolamento saranno rilevantissime e di impatto per le aziende che dovranno iniziare quanto prima a verificarne i contenuti ed a studiarne gli impatti sul proprio assetto organizzativo ed operativo, in modo da pianificare le modifiche da attuare.
Tra le principali modifiche introdotte dal Regolamento si segnalano:
- L’individuazione, obbligatoria in alcuni casi, di un “Data Protection Officer” ossia di un “Responsabile della Protezione dei dati” avente incarico di gestire all’interno dell’azienda/Ente tutti gli obblighi e policy privacy con deleghe poteri insindacabili.
- L’obbligo di individuazione con appositi contratti scritti i soggetti Responsabili del trattamento dei dati e Contitolari del trattamento.
- Modifiche nei contenuti delle informative privacy da fornire agli interessati tra cui l’obbligo di indicare per quanto tempo verranno trattati i dati raccolti.
- Modifiche nelle modalità di richiesta del Consenso al trattamento dei dati personali e dei casi di esclusione dall’obbligo.
- Misure di sicurezza tecniche ed organizzative idonee per tutelare i dati personali.
- Obbligo di notifica/segnalazione al Garante in caso di perdita di dati/attacco informatico (Data Breach).
- Predisposizione di un sistema di gestione – “Manuale/Regolamento” di gestione della privacy.
L’adeguamento alla nuova normativa, non costituisce in ogni caso meramente un obbligo normativo ma può divenire spunto per una nuova riorganizzazione e ottimizzazione dei processi e funzioni aziendali interni, sistemi operativi e misure informatiche.
La normativa, infatti, non consente la semplice adozione di modelli o formule “di adeguamento”, è bensì prevista una “responsabilizzazione” della società che dovrà dimostrare di aver svolto un’analisi preventiva dei possibili trattamenti di dati personali, un’analisi dei rischi incombenti sugli stessi e della sicurezza informatica ed un modello organizzativo idoneo a prevedere e gestire tali rischi.
L’approccio di ARM Process
Il nostro approccio all’adeguamento alla nuova normativa è estremamente pratico e mira all’adeguamento normativo cercando il più possibile una integrazione con i processi e procedure aziendali interni già esistenti ed una eventuale semplificazione degli stessi.
La consulenza è prestata mediante un team multidisciplinare costituito da esperti legali, di organizzazione e tecnico-informatici e si svolge in diversi step:
- Una prima fase di analisi della situazione aziendale, trattamenti di dati personali in essere, documentazione e misure di sicurezza esistenti (Check up dell’”As Is”).
- La presentazione, a seguito di detta prima fase di analisi, di un report contenente lo stato di adeguamento della società e degli adempimenti da porre in essere per la compliance al nuovo Regolamento.
- Una seconda fase di implementazione degli adempimenti individuati e condivisi con la società derivanti dall’attività di analisi precedente.
- La raccolta degli adempimenti svolti in un documento riassuntivo del modello organizzativo “privacy” adottato.
- La formazione del personale coinvolto.
Da dove iniziare – il Check up
Al fine di permettere un avvicinamento graduale all’adeguamento normativo, ARM Process propone:
- Check up preliminare dello stato di fatto “As Is” in azienda (trattamenti di dati personali in essere, documentazione e misure di sicurezza esistenti).
- Consegna di un report finale sullo stato ed adempimenti da porre in essere.
Il primo passo, in buona sostanza, potrà essere la redazione e consegna alla Società/Ente di un documento contenente la descrizione della situazione di fatto con l’elenco delle soluzioni/adempimenti da adottare per l’adeguamento, lasciando la prosecuzione ad una successiva valutazione aziendale.
A tal fine potrà essere fissato un incontro, senza alcun impegno a proseguire, per presentare il progetto e poter tarare una proposta sulla realtà dell’azienda.
Per richieste di approfondimenti su casi specifici non esitate a contattarci.