A distanza di oltre due anni alcuni anni dall’entrata in vigore del Regolamento UE 679/2016 (in breve, GDPR) le organizzazioni non possono ignorare l’importanza di un adeguamento ed aggiornamento costante dei propri processi interni affinché sia assicurata la compliance agli adempimenti richiesti dal GDPR.
Il Regolamento è incentrato sulla tutela dell’interessato e questo obbliga le organizzazioni ad un necessario adeguamento sia verso l’interno che verso l’esterno della realtà organizzativa. Tale necessità non rappresenta solo un mero adempimento burocratico, ma è la dimostrazione al mercato e agli stakeholders della professionalità e qualità che l’organizzazione dimostra nel disporre di un Modello Organizzativo Privacy idoneo alle sfide attuali e future. La compliance in materia di Privacy è un vantaggio competitivo non da poco permette ad ogni organizzazione che affronta tale sfida nella giusta ottica di distinguersi tra i concorrenti anche nel più saturo dei mercati.
Il Regolamento, pur facendo salve le linee guida introdotte dalla Direttiva CE 95/46 in materia di protezione dei dati personali, introduce, infatti, importanti novità e regole più chiare in tema di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti (diritto all’oblio e diritto alla portabilità del dato), stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’UE e per i casi di violazione dei dati personali (il cd. data breach), introduce il concetto di “accountability” e la nuova figura del Data Protection Officer (o DPO).
Entrando più nel dettaglio delle novità introdotte dal GDPR, è importante evidenziare che:
- L’informativa rende l’interessato informato sulle modalità di raccolta e trattamento dei dati personali ed è uno degli punti cardine del GDPR. Improntata sempre più sul concetto di trasparenza del trattamento dei dati personali e dell’esercizio dei diritti in capo agli interessati, l’informativa deve essere curata e aggiornata per permettere alle organizzazioni di realizzare il proprio business rimanendo però pienamente conformi del GDPR.
- Il consenso dell’interessato deve essere preventivo ed inequivocabile, anche quando espresso attraverso mezzi informatici e, nel caso di dati sensibili (c.d. dati particolari), il consenso deve sempre essere esplicitamente prestato, non essendo ammesso in alcun caso, il c.d. “consenso tacito”.
- Il rischio di Data Breach è una variabile che non deve mai essere presa alla leggera. Gli obblighi in caso di una violazione dei dati personali sono molteplici e l’organizzazione deve essere pronta ad una rapida risposta nell’eventualità di un incidente di sicurezza: occorrono procedure di gestione e processi di comunicazione degli eventi che rendano l’organizzazione in grado di comunicare in modo chiaro, semplice e immediato il verificarsi di violazioni dei dati personali all’Autorità Garante della Privacy e, nel caso in cui la violazione dei dati rappresenti una minaccia per i diritti e le libertà delle persone, anche agli interessati coinvolti.
- Il concetto di accountability si riferisce alla necessità di responsabilizzazione delle organizzazioni nell’adozione di approcci e politiche che tengano conto costantemente del rischio che i trattamenti di dati personali possono comportare per i diritti e le libertà degli interessati, attraverso il rispetto dei principi di “privacy by design” e “privacy by default”, al fine di garantire la protezione dei dati sin dalla fase di ideazione e progettazione di un trattamento. Ogni organizzazione, infatti, deve essere attenta ad agire nel rispetto dei principi di minimizzazione, trasparenza, liceità, correttezza, necessarietà, esattezza, aggiornamento, limitazione temporale ed adeguata sicurezza dei trattamenti in modo da ridurre i rischi connessi alla gestione e al trattamento dei dati personali.
- Il Data Protection Officer (ossia il DPO o, nella traduzione italiana, il Responsabile Protezione Dati) è una nuova figura introdotta con il GDPR, incaricato di garantire una gestione corretta e responsabile del trattamento dei dati all’interno delle organizzazioni.
Attività
Un’azienda migliore insieme
Nell’ottica di assicurare ad ogni ente il livello più alto di conformità alla nuova normativa in materia di trattamento dei dati personali, Gruppo PLS, grazie alla multidisciplinare esperienza dei propri consulenti, è in grado di offrire ai propri Clienti un supporto concreto nell’affrontare e gestire le più rilevanti tematiche Privacy connesse al trattamento dei dati personali.
La costruzione di uno strutturato sistema organizzativo Privacy diventa fondamentale per le imprese ai fini di una corretta gestione della propria attività, ma anche per evitare di incorrere in sanzioni derivanti da violazioni della normativa.
Data Protector Officer (DPO)
Soggetto dalla comprovata conoscenza della norma EU 679/2016 e delle policy aziendali in ambito privacy, in alcuni casi possiede anche una conoscenza delle connotazioni tecnico-informatiche. Viene designato attraverso un formale incarico da parte del Titolare del trattamento dei dati personali e agisce in situazione di piena indipendenza ed esente da conflitti d’interesse.
Compiti principali
- Fornisce consulenza al Titolare e al Responsabile del trattamento sugli obblighi derivanti dalla normativa privacy a livello europeo
- Sorveglia l’applicazione della norma nelle procedure aziendali, in particolare per l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale
- Dà parere giuridico sulla valutazione d’impatto della protezione dei dati (Risk Assessment)
- E’ il trait d’union tra Autorità di controllo (Garante privacy) e Titolare, tra interessati e Titolare.
Essere compliant alla normativa Privacy non significa soltanto prendere atto dell’esistenza di una normativa in tal senso, ma vuol dire anche progettare e pianificare la propria organizzazione aziendale in un’ottica “privacy oriented”. Per essere in regola con il GDPR è necessario, quindi, disporre di una struttura organizzativa e documentale tale da assicurare il rispetto del c.d. “principio di accountability” sia all’interno della propria organizzazione che nei confronti dell’esterno.
Gruppo PLS mette i propri consulenti al servizio del Cliente fornendo il proprio supporto multidisciplinare nella redazione della documentazione necessaria ad assicurare piena conformità ai dettai normativi e regolamentari in materia di trattamento dati. Tra i documenti-chiave, ad esempio, troviamo:
- le informative rivolte alle varie tipologie di interessati
- il Registro dei Trattamenti
- le procedure interne e i regolamenti aziendali in tema Privacy
- la costruzione di uno strutturato Organigramma Privacy aziendale e le correlate nomine interne
- le nomine dei Responsabili Esterni del Trattamento.
PLS inoltre, si impegna a fornire costante supporto nell’aggiornamento della documentazione prodotta anche alla luce dell’evoluzione interpretativa e normativa in tema di trattamento dei dati personali.