Vai al contenuto principale

La nuova Privacy

Il "Nuovo Regolamento Europeo" n. 2016/679 in materia di protezione dei dati personali, direttamente applicabile in tutti i Paesi UE dal 25 maggio 2018, rappresenta un cambiamento di prospettiva in materia di tutela della privacy. A differenza del passato, la nuova normativa introduce infatti come principio base quello della responsabilizzazione (accountability) al fine di assicurare un’effettiva garanzia della privacy in un’ottica di massima trasparenza. In base a tale principio è affidato a chi intende trattare dati personali il compito sia di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati valutando il rischio che tale trattamento comporta, sia di dimostrare di avere adottato misure organizzative e tecniche e di sicurezza adeguate ed efficaci per la protezione dei dati personali e che queste siano state aggiornate in maniera costante.

Novità

Oltre alle novità che riguardano le informative, la valutazione dei rischi e la nomina del responsabile esterno del trattamento, il regolamento prevede che tutti i titolari e i responsabili di trattamento, devono tenere un registro dei trattamenti – in forma scritta, anche elettronica - che deve contenere le seguenti informazioni:

  1. il nome e i dati di contatto del titolare del trattamento e del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  2. le finalità del trattamento;
  3. una descrizione delle categorie di interessati e delle categorie di dati personali;
  4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  5. i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale;
  6. i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  7. una descrizione generale delle misure di sicurezza tecniche e organizzative.

Da tale obbligo sono esentati gli organismi con meno di 250 dipendenti ma solo se non effettuano determinati trattamenti (che possano presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati, i cc.dd. dati sensibili, o i dati personali relativi a condanne penali e a reati).

Cosa deve fare l’impresa

Per redigere il Registro dei trattamenti l’impresa deve:

  • effettuare una mappatura dei propri trattamenti;
  • svolgere una valutazione dei rischi connessi a tali trattamenti.

Il Garante invita tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni   dell’organizzazione, a dotarsi del Registro al fine di poter più facilmente dimostrare la compliance alla normativa.

Riassumiamo di seguito una classificazione delle imprese che consideri il rischio riferito al trattamento dei dati:

Livello rischio basso

  1. micro impresa
  2. senza dipendenti
  3. con archivio cartaceo
  4. trattamento di dati personali comuni

Livello rischio medio

  1. micro e piccola impresa
  2. con dipendenti
  3. con database anche informatici
  4. trattamento di dati personali comuni (ad eccezione dei dati dei dipendenti)

Livello rischio alto

  1. micro e piccola impresa
  2. con o senza dipendenti
  3. con database anche informatici
  4. utilizzo di dati particolari (oltre a quelle dei dipendenti)

Confartigianato ha strutturato un servizio di assistenza per le imprese che devono adeguarsi ai nuovi adempimenti, realizzando con l’utilizzo di un software tutta la documentazione richiesta dal DGPR 679/16.

Tutte le imprese interessate possono inviare una richiesta di assistenza scrivendo a alessandro.scandella@artigiani.it
Le imprese associate possono richiedere il Vademecum e le FAQ Privacy presso le sedi di Confartigianato.
 

Scarica la guida