Trattamento e protezione dei dati personali

Il  4 maggio 2016  è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) il  “Regolamento  (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”  (meglio noto come  “regolamento generale sulla protezione dei dati”  o “GDPR”).

Il GDPR si applica a tutte le Organizzazioni (inclusi enti pubblici,  imprese private  e studi professionali)  che a vario titolo trattano dati classificabili come “dati personali”, ovvero qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»). Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Difficile quindi che un’Organizzazione possa non rientrare nell’ambito di applicazione del GDPR.

Il GDPR è diventato definitivamente applicabile (e sanzionabile) in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.  Essendo il GDPR  un regolamento europeo non vi è per definizione necessità di alcun recepimento da parte di leggi nazionali né quindi nessuna possibilità di proroga dei termini di applicazione. Molto severe anche le sanzioni previste dal GDPR in caso di  violazioni dello stesso, pari fino a 20 milioni di € o al 4% del fatturato totale mondiale annuo.

Il GDPR sostituisce quindi a tutti gli effetti l’attuale Decreto Legislativo del 30 giugno 2003  n. 196 “Codice in materia di protezione dei dati personali» e impone alle Organizzazioni destinatarie una serie di adeguamenti che devono essere pianificati per tempo con particolare riferimento ai seguenti aspetti:

  • Principi per il trattamento lecito dei dati personali, tra cui gestione dell’informativa e del consenso

  • Gestione delle richieste e dei diritti degli interessati al trattamento dei dati personali

  • Organizzazione, ruoli, responsabilità e nomine per il trattamento dei dati personali: titolare, responsabile e la nuova figura del “Data Protection Officer” (DPO);

  • Formazione e sensibilizzazione per le figure coinvolte nel trattamento dei dati personali;

  • Mappatura dei trattamenti effettuati e relativo registro dei trattamenti;

  • Gestione  dei rischi per il trattamento e adozione delle misure tecniche organizzative per il trattamento dei rischi, nel rispetto dei principi della “privacy  by design” e “privacy by default” e per il perseguimento di obiettivi di sicurezza delle informazioni (disponibilità, integrità e riservatezza) e di resilienza;

  • Valutazione preventiva di impatto sulla protezione dei dati trattati rispetto alle libertà e ai diritti degli interessati;

  • Gestione degli incidenti in materia di protezione dei dati personali e notifica all’Autorità Garante

APS attraverso team multidisciplinare di esperti qualificati nei  vari ambiti (giuridico, IT Security, Governance, Risk Management e Compliance), è in grado di supportare Aziende di tutti i settori e dimensioni nel percorso di allineamento ai requisiti del GDPR erogando servizi di formazione, consulenza, audit e mettendo a disposizione professionisti qualificati per ricoprire il ruolo di DPO.