Il 25 maggio 2018 il Codice della Privacy (Decreto legislativo 196 del 2003) sarà sostituito dal nuovo Regolamento europeo sulla protezione dei dati (GDPR), che diverrà legislazione comune per tutte le 28 nazioni dell’UE.  L’impatto sulle aziende sarà significativo, considerati gli attuali obblighi previsti per non incorrere nelle pesanti sanzioni contenute nella normativa.  Le organizzazioni dovranno quindi valutare i cambiamenti richiesti dalla nuova normativa che potrebbero in alcuni casi incidere notevolmente sulle loro procedure organizzative.

In caso di violazioni del trattamento dati di cui è Titolare l’azienda, la stessa potrà essere sottoposta ad una sanzione sino al 4% del fatturato annuo globale mondiale.  È quindi fondamentale effettuare un’analisi attenta degli effetti del Regolamento sulla gestione interna dei dati.

Il Regolamento Europeo disciplina i casi in cui la gestione dei dati è autorizzata, le misure di sicurezza da osservare e le relative sanzioni in caso di inadempienza.

I soggetti interessati all’adeguamento sono:

  • aziende di ogni dimensione e pubbliche amministrazioni
  • professionisti e studi professionali

Tra le principali attività, segnaliamo l’istituzione, obbligatoria per le aziende che trattano dati particolarmente critici o sensibili e per gli Enti pubblici, del Data Protection Officer, che dovrà essere indipendente, competente e non necessariamente interno all’impresa.

I servizi dell’area Privacy:

  • audit di conformità di procedure interne, nomine, ambienti di lavoro
  • mappatura dei soggetti che intervengono nel trattamento dati, nomina dei responsabili e addetti al trattamento, formule di informative e consensi in relazione alla specifica tipologia di dato trattato
  • formazione obbligatoria (aula o e-learning)
  • realizzazione di policy e “buone pratiche” in funzione del principio dell’accountability, così da dimostrare la conformità dell’azienda in funzione dei propri processi interni.
  • valutazione dei rischi ed identificazione dei trattamenti: fondamentale per tracciare un perimetro dei rischi a cui è sottoposto un processo e Privacy Impact Assessment, documento, che contiene la descrizione sistematica dei trattamenti, finalità, rischi, nonché le misure di sicurezza attuate per la mitigazione del rischio
  • assunzione del ruolo di Responsabile per la Protezione dei Dati o Data Protection Officer (DPO) esterno, in funzione dello specifico trattamento per cui il Regolamento richieda l’obbligo di individuazione e nomina).