Le novità e l’impatto sulle aziende, dopo il Privacy Day, in particolare, dagli interventi dei membri dell’Autorità Garante, è emersa inequivocabilmente la necessità di mettere in atto le misure di adeguamento già applicabili. In primis l’adozione di misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, anche in considerazione agli obblighi di notifica e comunicazione conseguenti ad un Data Breach che, lo teniamo a ricordare, riguarderanno tutti i Titolari.
L’entrata in vigore è stata il 25 maggio 2016 e la sua applicazione è stata per il 24 maggio 2018, ma tutt’oggi le modifiche e le azioni correttive sono assolutamente materia di aggiornamento e di correzione. Ecco una panoramica sulle pratiche più importanti e sulle possibili insidie:
ACCOUNTABILITY
Il principio dominante della normativa. l’azienda dovrà essere sempre in grado di dimostrare la compliance al regolamento attraverso forme di garanzia ex ante. La responsabilizzazione dell’azienda è totale e pro attiva. Occorrerà non solo l’adozione di misure tecniche ma, soprattutto la predisposizione di policy interne che garantiscano il rispetto delle norme da parte del personale dipendente.
DATA BREACH
Le aziende dovranno notificare all’autorità garante le violazioni entro 72 ore e, nei casi più gravi, informare gli interessati al trattamento coinvolti dalla violazione.
DIRITTI DEGLI INTERESSATI
Sono stati potenziati (diritto all’oblio, limitazioni del trattamento ecc.) sarà necessario prestare la massima attenzione alle richieste provenienti da qualsiasi fonte, in particolare, occorrerà istruire i propri dipendenti a riconoscere le forme di esercizio dei diritti da parte degli interessati.
REINTRODUZIONE DELL’OBBLIGO DI ISTRUIRE/FORMARE LE PERSONE
Tutte le persone addette al trattamento dei dati artt. 29 e 32.
SICUREZZA DEL TRATTAMENTO
Tutte le aziende dovranno effettuare un’analisi dei rischi incombenti sui dati al fine di porre in essere le misure tecniche e organizzative (policy) adeguate per abbassare il livello di rischio rilevato.
VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI
Viene richiesta una specifica analisi ex ante sui trattamenti indicati nell’art. 35.
SANZIONI FINO A 20.000.000 DI EURO O PER LE IMPRESE FINO AL 4% DEL FATTURATO MONDIALE
Per la prima volta sono previste anche per la violazione dei principi di base del trattamento quali liceità, correttezza, trasparenza, finalità dichiarate, adeguatezza, pertinenza, condizioni per il consenso e trattamento di dati sensibili.
LA CONFORMITà
Sono molti i punti per cui è necessario un approfondito controllo, un’analisi puntuale e molte le verifiche da portare a termine per ottenere la compliance ai dettami del GDPR, e per non incappare nelle multe dell’autorità di controllo.
Per verificare se gli adempimenti sono stati adempiuti si consiglia un audit accurato in linea con quanto previsto dalla iso 19011 e dai provvedimenti e linee guida del garante.
Di seguito un breve elenco degli adempimenti ai quali è indispensabile avere adempiuto:
SITO WEB
Deve essere a norma, ogni form di raccolta dati deve avere un’informativa specifica con le richieste di consenso esatte. Anche i dati di navigazione devono avere l’informativa (informativa sito). Occorre una gestione dei cookie in linea con quanto enunciato dal Garante nel provvedimento 8 maggio 2014. Il Garante privacy quasi ogni giorno emana sanzioni sui siti.
INFORMATIVE
L’importanza di capire che il contenuto obbligatorio declinato all’art. 13 è imprescindibile, ma è altrettanto importante sapere quali informative sono da utilizzare e come farlo. L’evolversi della normativa ha consentito di semplificare la metodologia di comunicazione con l’interessato.
CONTROLLI – ART. 4 STATUTO DEI LAVORATORI (riformato dal Job Act)
Prevede che per effettuare controlli sugli strumenti di lavoro, il lavoratore deve essere preventivamente informato e istruito sulle modalità di svolgimento degli stessi e sulle conseguenze. Per essere conformi è necessario adottare policy in linea con il Codice Privacy come espressamente previsto dall’art. 4.
MARKETING, VIDEOSORVEGLIANZA, GEOLOCALIZZAZIONE, BIOMETRIA, CLOUD
Prevedono vari adempimenti specifici (notifiche, nomine, …) indicati nei provvedimenti del Garante dedicati all’argomento.
MISURE DI SICUREZZA
Quanto previsto dall’all. B e da successivi provvedimenti (amministratore di sistema, internet e posta elettronica ecc) deve essere assolutamente conseguito. La sicurezza dei dati è il primo punto da rispettare per l’attuale normativa e per il Regolamento europeo. Non solo sicurezza informatica dei dati ma anche dei trattamenti raggiungibile attraverso policy e formazione.
NOMINE AGLI INCARICATI
Il Garante, attraverso la Guardia di Finanza, ha spesso elevato sanzioni per la mancata adozione di nomine specifiche agli incaricati.
TRATTAMENTO DI DATI IN ESTERNO
L’attuale normativa e ancor più quella europea obbligano a regolare i rapporti con i soggetti ai quali affidiamo trattamenti di dati. Il Regolamento impone la nomina a responsabili esterni.