E' scattato il conto alla rovescia verso la nuova legge sulla privacy. Il Regolamento Europeo n. 2016/679 in materia di protezione dei dati personali, che sarà direttamente applicabile in tutti i Paesi UE dal 25 maggio 2018, rappresenta un cambiamento di prospettiva in materia di tutela della privacy. A differenza del passato, la nuova normativa introduce infatti come principio base quello della responsabilizzazione (accountability) al fine di assicurare un’effettiva garanzia della privacy in un’ottica di massima trasparenza.
In base a tale principio è affidato a chi intende trattare dati personali il compito sia di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati valutando il rischio che tale trattamento comporta, sia di dimostrare di avere adottato misure organizzative e tecniche e di sicurezza adeguate ed efficaci per la protezione dei dati personali e che queste siano state aggiornate in maniera costante.
Novità
Oltre alle novità che riguardano le informative, la valutazione dei rischi e la nomina del responsabile esterno del trattamento, il regolamento prevede che tutti i titolari e i responsabili di trattamento debbano tenere un registro dei trattamenti – in forma scritta, anche elettronica - con le seguenti informazioni:
a) il nome e i dati di contatto del titolare del trattamento e del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale;
f) i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) una descrizione generale delle misure di sicurezza tecniche e organizzative.
Da tale obbligo sono esentati gli organismi con meno di 250 dipendenti, ma solo se non effettuano determinati trattamenti (che possano presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati, i cc.dd. dati sensibili, o i dati personali relativi a condanne penali e a reati).
Cosa deve fare l’impresa
Per redigere il Registro dei trattamenti l’impresa deve:
- effettuare una mappatura dei propri trattamenti;
- svolgere una valutazione dei rischi connessi a tali trattamenti.
Il Garante invita tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a dotarsi del Registro al fine di poter più facilmente dimostrare la compliance alla normativa.
Ecco una classificazione delle imprese stilata sulla base del rischio riferito al trattamento dei dati e le conseguenti azioni suggerite
Livello rischio basso:
1. micro impresa
2. senza dipendenti
3. con archivio cartaceo
4. trattamento di dati personali comuni
Conformità:
Adozione/aggiornamento modulistica
Strumenti:
1. Aggiornamento modulistica
2. Atto di nomina del responsabile del trattamento
Livello rischio medio:
1. micro e piccola impresa
2. con dipendenti
3. con database anche informatici
4. trattamento di dati personali comuni (ad eccezione dei dati dei dipendenti)
Conformità:
Aggiornamento modulistica
Assessment (consulenza)
Tenuta del Registro dei trattamenti
Individuazione delle misure tecniche e organizzative di sicurezza
Definizione delle procedure in caso di data breach
Strumenti:
1. Modulistica completa
2. Checklist/mappatura approfondita
3. Registro dei trattamenti
4. Checklist/mappatura misure di sicurezza/formazione dei dipendenti
Livello rischio alto:
1. micro e piccola impresa
2. con o senza dipendenti
3. con database anche informatici
4. utilizzo di dati particolari (oltre a quelle dei dipendenti)
Conformità:
Adozione/aggiornamento modulistica
Assessment (consulenza)
Tenuta del Registro dei trattamenti
Individuazione di misure tecniche e organizzative di sicurezza con particolare riferimento alle particolari categorie di dati trattati (ad es. pseudonomizzazione, cifratura dei dati)
Definizione delle procedure in caso di data breach (violazione dei dati personali)
Strumenti:
1. Modulistica completa
2. Checklist/mappatura approfondita
3. Registro dei trattamenti
4. Checklist/mappatura misure di sicurezza/formazione dei dipendenti
Il supporto di Confartigianato
Le imprese che appartengono al livello basso posso richiedere a Confartigianato Imprese Piemonte Orientale, gratuitamente, alcuni fac simile di informative clienti/fornitori. Per le imprese che appartengono al livello medio e alto Confartigianato consiglia vivamente il servizio di assistenza che è stato pensato e strutturato per adeguare le imprese associate ai nuovi adempimenti richiesti. Per conoscere i costi e le modalità invitiamo tutti gli interessati a contattare gli uffici di sede di Confartigianato Imprese Piemonte Orientale.