Il 25 maggio 2018 è entrato in vigore, con efficacia vincolante, il nuovo “Regolamento generale sulla protezione dei dati” (RGPD), che sostituisce il previgente “Codice in materia di protezione dei dati personali” (D.Lgs. 196/2003), ora modificato dal D.Lgs. 101/2018 (G.U.04/09/2018, n. 205).
Il Regolamento generale sulla protezione dei dati (RGPD) è il nuovo regolamento che definisce le modalità di protezione dei dati personali e sensibili (ora chiamati “dati soggetti a trattamento speciale”) di tutti i cittadini residenti in qualsiasi Stato membro dell’Unione europea.
L’RGPD è nato infatti per garantire la massima protezione nella privacy delle informazioni dei cittadini.
Per questo, vengono concessi nuovi diritti come il diritto all’oblio, la portabilità dei dati e la limitazione del trattamento.
Tutte le aziende (il RGPD le chiama “Imprese”) – indipendentemente dalla loro dimensione devono stabilire le misure tecniche e amministrative necessarie per conformarsi al nuovo regolamento. Ciò richiede la modifica degli eventuali documenti già adottati in azienda per la gestione della privacy, oppure la completa riscrittura delle misure e delle modalità di trattamento dei dati personali che ogni singola azienda attua e deve attuare per il rispetto del RGPD.
Va evidenziato che per “dato personale” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Chiunque è in possesso di dati personali riferiti a dipendenti, clienti, fornitori, ecc. e tra questi dati ce ne possono essere alcuni considerati “sensibili” – tecnicamente definiti “dati soggetti a trattamento speciale” (dati sanitari, giudiziari, di appartenenza a partiti politici o a sindacati, ecc.) rispetto ai quali le misure di protezione devono essere ulteriormente rinforzate.
È evidente che qualsiasi azienda tratta uno o più dati personali, sia in forma cartacea, sia in formato elettronico, quindi nessuno può ritenersi esonerato dall’applicare il RGPD, dando evidenza documentale delle modalità di protezione adottate.
Quindi occorre censire le caratteristiche dei dati trattati, le modalità di loro utilizzo, elaborazione, conservazione, anche tramite la tenuta di un registro delle attività di trattamento svolte sotto la propria responsabilità (anche se il dato viene materialmente gestito da consulenti esterni o altre figure incaricate).Tra le numerose altre azioni da adottare, vanno inoltre codificate le modalità di informativa e di accesso ai dati da comunicare ad ogni soggetto interessato di cui si posseggono dati personali e devono essere formati tutti i soggetti che trattano i dati personali.
Il mancato rispetto delle norme comporta il rischio di vedersi comminare delle sanzioni.
Già nel Codice in materia di protezione dei dati personali sono previste sanzioni amministrative per il mancato rispetto della normativa: quelle comminate con più frequenza hanno finora riguardato le sanzioni relative alla mancanza di informazioni nei confronti degli utenti e interessati in genere. L’omessa o inidonea informativa comporta, infatti, una limitazione all’autodeterminazione informativa dell’interessato ed è prevista dall’art. 161 del Codice della Privacy.
Con il nuovo Regolamento le sanzioni possono essere di tipo amministrativo (pecuniario) o penale (queste ultime sono definite all’interno delle norme vigenti in ogni stato dell’UE).
Le sanzioni amministrative pecuniarie vengono applicate in funzione del singolo caso e tenendo conto della natura, della gravità e della durata della violazione, delle finalità del trattamento, del numero di interessati lesi e del livello del danno, oltre ad altri elementi come il carattere doloso o colposo della violazione, le misure adottate e possono arrivare fino al 4% del fatturato aziendale.
Per venire incontro alle esigenze della Clientela, noi di Sophya consulting abbiamo elaborato un Manuale che può essere gestito con facilità dalla maggior parte delle aziende e che possiamo fornire a costi molto accessibili e, se necessario, possiamo assumere incarichi di DPO (responsabile della protezione dei dati), figura obbligatoria in alcune imprese e caldamente consigliabile in molte altre...
Centinaia di aziende apprezzano da anni la nostra professionalità: metteteci alla prova e non vi pentirete!
Per maggiori informazioni sono a disposizione i nostri recapiti:
338 5371083 (ufficio commerciale)
0731 820011 (segreteria)