Il nuovo Regolamento Europeo per la Protezione dei Dati EU-GDPR
Regolamento UE 2016/679
Proverò a spiegarvi con parole semplici una cosa che sembra complessa.
Il 25 Maggio 2018 entra in vigore il nuovo Regolamento Europeo EU-GDPR già pubblicato nel 2016 e che dava due anni alle aziende per mettersi a norma che in pratica impone a tutte le aziende all’interno della UE, quindi Italia compresa, di adottare nuove misure per la protezione dei dati personali e per la Privacy.
Vengono introdotti nuovi incarichi come il DPO (Responsabile della Sicurezza)
Che è una persona con competenze tecnico informatiche di alto livello, che conosca molto bene il GDRP e con una conoscenza di leggi focalizzate sul trattamento dati e che funga da consulente e coolegamento con l’’azienda al fine di proteggere i dati informatici.
Inoltre, rispetto alla precedente legge, vengono ampliati ruoli e responsabilità degli attuali Titolari e Responsabili del Trattamento.
Cosa molto importante: è stato introdotto l’obbligo di denunciare alle autorità competenti qualsiasi perdita o inaccessibilità anche parziale dei dati e di documentare tutte le misure adottate per rendersi adeguati al regolamento.
In pratica se prendete un virus che vi distrugge i dati oppure per qualsiasi il vostro sistema prende quello che volgarmente viene chiamato virus che invia dati all’esterno siete obbligati entro 72 ore a inviare un email ad un apposita PEC.
Vengono inoltre inasprite le sanzioni previste dal regolamento europeo sia amministrative che penali che potranno arrivare fino a 20 Milioni di €uro o il 4% del fatturato.
In generale il quadro sanzionatorio Italiano è il seguente:
Le sanzioni per omesse informazioni denunce o l’inidonea gestione dai dati prevede una sanzione pecuniaria da tremila a diciottomila euro, nel caso che l’omessa o inidonea informativa si riferisca a dati personali identificativi, ma in alcuni casi è previsto anche un aggravio della pena da cinquemila a trentamila euro.
Le sanzioni amministrative sono erogate anche grazie al comma 2 bis dell’art. 162 del Codice, il quale punisce con una sanzione amministrativa chi omette le misure minime di sicurezza.
Quali sono i passi fondamentali?
il Titolare del Trattamento deve non solo garantire il corretto trattamento dei dati e il possedere una infrastruttura informatica a norma, ma anche di essere in condizioni di dimostrare di rispettare il regolamento sulla privacy e dimostrare di aver messo in atto le misure ritenute idonee dal Titolare o dai consulenti.
In sintesi i passi fondamentali sono:
- Avvio processo: valutazione iniziale normativa, informatica e tecnica
- Identificazione ruoli: individuazione dei ruoli e dei compiti
- Valutazione rischio: valutazione del tipo e dei rischi collegati alle tipologie di dati
- Impatto sull’operatività :valutare come inserire i procedimenti adottati nell’operatività quotidiana e nei servizi offerti.
- Produrre tutti i documenti necessari : Informative, nomine , schemi , check analisi e istruzioni ai dipendenti
Formazione: Formare le persone che devono applicare la tutela della privacy
Monitoraggio: Una volta all’anno o in occasione di cambiamenti con impatto GDRP aggiornare e monitorare i protocolli.
Pianificare: il data breach: Preparare un piano di azione al fine di evitare le sanzioni e poter dimostrare che si è fatto tutto il possibile per limitare i danni al minimo prevedibile.