Il 25 maggio 2018 è entrato in vigore il nuovo Regolamento Privacy. Si applica a tutte le aziende, piccole e grandi, nel pubblico e nel privato.
Non ci sono più le “misure minime” previste dall’attuale Codice della Privacy ma spetta al titolare del trattamento valutare se e come trattare i dati, quali sono i rischi connessi al trattamento e quali sono le conseguenti misure da adottare per l’effettiva tutela dei dati stessi.
In sintesi l’impresa, ovvero il titolare del trattamento, ha il compito di:
Ciò consentirà di avere una fotografia dell’impresa rispetto a:
Con quali strumenti? Check-list dei trattamenti.
Con quali strumenti? Misure tecniche ed organizzative (es. adeguata formazione del personale che tratta i dati, misure di sicurezza in termini di accessibilità ai dati, di sicurezza cartacea e informatica); modulo informativa; modulo consenso.
Con quali strumenti? Vanno utilizzati i seguenti mezzi per adempiere a questo aspetto:
Inoltre vanno utilizzati i seguenti strumenti:
Obbligo di informativa: nella sostanza l’informativa non cambia. Deve essere chiara e semplice e deve contenere il riferimento alla durata del trattamento e, quando è previsto, del responsabile della protezione dei dati.
Consenso dell’interessato per l’utilizzo dei dati comuni: è necessario acquisirlo (anche se non deve più essere documentato per iscritto) ad eccezione (come oggi) se i dati personali comuni sono utilizzati per eseguire un contratto; per soddisfare un obbligo di legge (ad es. antiriciclaggio); per dati di fonte pubblica (es. dati dell’anagrafe).
Consenso dell’interessato per l’utilizzo di dati sensibili: è necessario acquisire il consenso esplicito ad eccezione se i dati sensibili sono trattati per la gestione dei rapporti di lavoro e per la sicurezza sul lavoro; per i dati giudiziari in conformità all’art. 10 del Regolamento.
Notificazioni al Garante: non saranno più previste.
Registro dei Trattamenti: Vi è l’obbligo per le imprese con più di 250 dipendenti e per quelle imprese che trattano dati sensibili o giudiziari. E’ uno strumento fondamentale anche per disporre di un quadro aggiornato dei trattamenti in essere all’interno dell’impresa ed è indispensabile per la valutazione del rischio. Deve avere forma scritta e deve essere esibito di richiesta al Garante.
Valutazione dell’impatto della protezione dei dati: è introdotta dal nuovo Regolamento ed è da attuare solo quando il trattamento presenta rischi potenzialmente elevati per gli interessati. Consiste nella valutazione dei rischi derivanti dal trattamento dei dati personali per i diritti e le libertà degli interessati e nelle misure per mitigarli.
Titolare del trattamento: l’impresa che ha potere decisionale sull’uso dei dati personali di propria pertinenza.
Data Protection Officer (DPO) o Responsabile della Protezione dei Dati: nuovo organo indipendente di sorveglianza circa l’effettività del sistema realizzato dall’azienda per essere conforme al regolamento. è obbligatorio in alcuni casi. Il Garante ha pubblicato uno schema di atto di designazione ed ha chiarito quali sono i soggetti privati obbligati alla sua designazione (ad es. sindacati, Caf, Patronati, società che forniscono servizi informatici) e la raccomanda per gli altri casi alla luce del principio di “accountability”.
Fonte: CGIA Mestre