Privacy

Safety Group ha rivolto la propria attenzione anche alla normativa sulla Tutela della Privacy. 

Il nuovo Regolamento europeo sulla privacy (GDPR – General Data Protection Regulation) prevede fra i suoi pilastri il principio di accountability (che potrebbe essere tradotto in “responsabilizzazione e obbligo di rendicontazione“) che riguarda tutti i soggetti, in particolare il titolare del trattamento.

Il Regolamento introduce un nuovo approccio, essenzialmente basato sulla responsabilizzazione del titolare del trattamento (si parla, infatti, di accountability e privacy “dimostrabile”, in quanto l’onere della prova della conformità del trattamento grava sui titolari) e sul concetto di privacy by design. Il GDPR affida ai titolari il compito di individuare e predisporre autonomamente le modalità (incluse garanzie e limiti) più idonee per garantire il rispetto della normativa, attraverso un’analisi preventiva e specifica di tutti i trattamenti di dati effettuati, rinviando il controllo dell’Autorità Garante ad una fase eventuale e successiva.

Il titolare deve essere in grado di “dare conto” delle valutazioni svolte alla base delle scelte poi operate.

Ricordiamo che la parte sanzionatoria del GDPR occupa, per l’interesse dei Titolari, un posto sicuramente di rilievo. Il “costo” di una mancata compliance normativa è infatti aumentata notevolmente (nei casi più gravi fino a 20 milioni di euro, o se superiore, fino al 4% del fatturato annuo mondiale).

Sperando di fare cosa utile, riportiamo di seguito i principali compiti del Titolare del Trattamento secondo quanto previsto dal GDPR :

  • Decide finalità, mezzi e caratteristiche del trattamento
  • Sceglie dipendenti e/o collaboratori a cui delegare le operazioni di trattamento dopo adeguate istruzione e formazione
  • Decide se esternalizzare attività di trattamento tramite designazione di uno o più Responsabili esterni, che possono essere autorizzati a delegare a loro volta altri Responsabili.
  • Analizza il contesto in cui opera l’impresa e prendere decisioni consapevoli circa l’adeguatezza delle misure e delle decisioni intraprese
  • Comunica con tutte le parti interessate in modo trasparente
  • Documenta le decisioni e conserva le evidenze che dimostrano che le proprie azioni e scelte sono conformi alle prescrizioni del Regolamento
  • Predispone informative, eventuali designazioni, rapporti contrattuali, formazione, privacy by design & by default, gestione dei diritti degli interessati, gestione delle violazioni, valutazione d’impatto e gestione del rischio aziendale, registro dei trattamenti, misure di sicurezza tecnico-organizzative…
  • Redige informative chiare e complete
  • Raccoglie il consenso degli interessati, se necessario, e lo conserva
  • Effettua nomine e designazioni, ove necessario:
    • con verifica preliminare di competenze e garanzie, per mezzo di atti formali
    • con istruzioni e formazione adeguati
  • Definisce clausole contrattuali di data protection
  • Adotta le necessarie cautele prima di effettuare trasferimenti dei dati in paesi terzi
  • Risponde tempestivamente alle richieste dell’Autorità garante
  • Definisce politiche e procedure per diffondere la cultura data protection
  • Implementa Misure tecnico-organizzative e strumenti di data protection:
    • Dotandosi di una infrastruttura ICT all’altezza della specifica situazione, utilizzando gli strumenti disponibili per aumentare la sicurezza e proteggersi da attacchi
    • Istruendo il personale, modellando le autorizzazioni all’accesso sulla base delle effettive esigenze organizzative, responsabilizzando
    • Istituendo procedure per la gestione dei diritti degli interessati e la gestione delle violazioni
    • Implementando, ove possibile, la privacy «nativa», tenendo conto della normativa al momento della progettazione di nuovi servizi e/o prodotti e minimizzando i dati fin dalla raccolta
    • Utilizzando, ove possibile, tecniche atte a limitare i rischi (anonimizzazione, pseudonimizzazione, cifratura)
    • Ove pertinente, compila il Registro dei trattamenti
    • Ove pertinente, effettua la Valutazione d’impatto preliminare
    • Preparandosi a gestire l’emergenza attraverso una procedura di gestione delle violazioni
  • Agisce sempre in modo legittimo e trasparente, evitando scorciatoie
  • Inserisce il «Rischio Privacy» nel sistema di valutazione dei rischi aziendali, applicando le prassi di risk management
  • Adotta, laddove possibile, Codici di Condotta e Certificazioni
  • Rimane aggiornato ed effettua revisioni periodiche
  • Instaura e mantiene comportamenti «virtuosi»

Le modalità per dimostrare quanto sopra dovrà definirle il Titolare ……. secondo il principio di accountability.

La documentazione e le misure già realizzate per la conformità all’ex D. Lgs. 196/03, dovranno essere rivisitate.

In estrema sintesi il Titolare del Trattamento dovrà:

  • Verificare e individuare:
    • Organizzazione ove vengono trattati i dati (sede/i – stabilimento principale – funzioni organizzative)
    • il flusso dei dati e i trattamenti effettuati (ambiti di trattamento – tipologia di dati trattati in qualità di titolare – tipologia di tati trattati in qualità di responsabile – videosorveglianza – localizzazione, altri trattamenti particolari);
    • modalità e finalità di trattamento (basi giuridiche, periodo di conservazione, etc.)
    • attrezzature hardware e software utilizzati per il trattamento dati (ATTENZIONE AGLI STRUMENTI MOBILI IN DOTAZIONE AL PERSONALE);
    • fornitori che possono essere coinvolti con i dati trattati (manutenzione pc, servizi in out-sourcing quali: commercialista, consulente del lavoro, etc.…. );
    • trasferimento di dati personali verso Paesi Terzi.

ATTENZIONE AI SISTEMI HOSTING, PIATTAFORME CLOUD, AI SOCIAL ……..

  • definire una politica dell’azienda;
  • analizzare e gestire i rischi;
  • aggiornare/elaborare le informative agli interessati (clienti, dipendenti e i collaboratori, etc.) e gestione dei consenso, ove necessario; ATTENZIONE AL SITO WEB E COOKIES.
  • definire procedure per l’esercizio dei diritti degli interessati
  • provvedere a definire e formalizzare nomine, deleghe e responsabilità (responsabili, amministratore di sistema, persone autorizzate al trattamento sotto la diretta autorità del titolare, ….).
  • predisposizione regolamento informatico
  • rivedere le clausole contrattuali
  • definizione di una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento di cui all’art. 32
  • definizione di una procedura per ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico
  • verifica/implementazione misure tecniche/logiche, fisiche ed organizzative per assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento.
  • formazione del personale,

Ove applicabile:

  • istituzione del registro trattamenti,
  • valutazione d’impatto sulla protezione dei dati,
  • nomina del DPO/RPD
  • ……
  • …….. ogni altro adempimento per garantire la Data Protection nell’ottica del principio di ACCOUTABILITY.

Lo staff di Safety Contact rimane a disposizione per qualsiasi necessità.

 

informativa in breve  – COSA BISOGNA FARE – (clicca) adempimenti privacy – adempimenti video sorveglianza