Il regolamento Europeo 2016/679 concernente la tutela delle persone fisiche, con particolare riguardo al trattamento dei dati personali e la libera circolazione di tali dati, è entrato in vigore il 24 maggio 2016 ed è divenuto applicabile – in tutti gli Stati membri – a partire dal 25 maggio 2018.
Il regolamento porta significative innovazioni non solo per i cittadini, ma anche per le aziende, gli enti pubblici, le associazioni, i liberi professionisti; imprese ed enti avranno più responsabilità, ma potranno anche beneficiare di diverse semplificazioni; in caso di inosservanza delle regole sono previste sanzioni, anche elevate.
Cosa dobbiamo fare per essere in regola con le normative privacy e dataprotection?
Le organizzazioni, in vigenza del precedente Codice Privacy, si erano “conformate” producendo “una tantum” faldoni di documentazione, informative, il D.P.S. e mettendo in pratica – alla meglio – le misure minime del famoso allegato B; a seguito della introduzione del Regolamento Europeo 679/2016, il Titolare ha l’obbligo di “accountability”, dal quale discendono tutta una serie di misure organizzative, logiche e tecnologiche, molte delle quali hanno effetti rilevanti sui processi aziendali; inoltre le misure debbono essere costantemente rivalutate.
Riteniamo che – oggi – raggiungere la compliance sia possibile solo mettendo in atto un sistema di gestione della privacy, simile al più noto SGQ Sistema Gestione Qualita, che noi chiamiamo DataProtection Model.
Possiamo fare da soli oppure abbiamo bisogno di un supporto?
Occorre valutare la struttura della organizzazione, principalmente in riferimento alla quantità e tipologia di dati trattati e alla complessità dei sistemi I.T.C. ; grandi quantità di dati, oppure alcune tipologie di dati (es. quelli sensibili o sanitari) hanno un rischio maggiore di causare effetti lesivi della dignità delle persone.
Complessi sistemi di trattamento, magari facenti capo a varie sedi, determinano un elevato rischio operativo, e quindi rilevante possibilità di data-breach; il nuovo regolamento affida al Titolare del trattamento la responsabilità di definire policy, strumenti e misure atte a minimizzare il rischio di “incidente privacy”.
Le grandi aziende che dispongono di una apposita “unità organizzativa privacy”, hanno già gra parte delle risorse necessarie a tracciare i percorsi per raggiungere la compliance; ritengo comunque che alcuni processi (e penso, come esempio, alle attività di Risk Management – ISO31000, alla implementazione del sistema di gestione della sicurezza delle informazioni – ISO27001, alla creazione delle procedure di Incident Response e/o Data Breach, del DataProtection Model dovranno essere coadiuvati da supporto specialistico di un team multidisclipinare.
Cogliamo l’occasione per rafforzare le aziende italiane.
Il 2019 è stato il peggior anno per la sicurezza informatica delle nostre aziende, ed ogni anno precedente si è rilevata la stessa condizione; l’Italia si trova nella TOP TEN dei paesi più colpiti al mondo; nel giugno 2017, diverse importanti aziende italiane sono state coinvolte in un attacco massivo di malware NotPetya, e alcune hanno dovuto chiudere per diversi giorni e mandare a casa i dipendenti. Era possibile evitarlo? Certamente, in questo specifico caso occorreva aggiornare il S.O. degli elaboratori, come era, da tempo, reso obbligatorio dalle misure di sicurezza del codice sulla protezione dei dati personali, allegato B.
Chi è un team specializzato GDPR?
Non sono sufficienti perfetta conoscenza delle norme e bollini; il consulente alla protezione dei dati personali è un professionista che deve avere competenze, esperienza, formazione specifiche e multidisciplinari. Rivolgetevi ad un team di consulenti certificati in materie legislative, gestionali ed informatiche.
Riservatezza e consulenza globale.
In molte organizzazioni, la riservatezza è un requisito fondamentale del rapporto con un consulente; il nostro studio si occupa di tutti gli aspetti relativi alla sicurezza delle informazioni e non vi affidiamo ad uno stagista diciottenne. Richiedete un primo incontro, informale e non vincolante, per valutare la vostra situazione attuale e definire un eventuale percorso di adeguamento, e/o tutte le nostre attività.
Contattaci per i nostri servizi di consulenza professionale sulla normativa privacy; operiamo in tutta la Regione Piemonte e nelle Province e Città di Alba, Alessandria, Asti, Biella, Bra, Carmagnola, Casale Monferrato, Chieri, Chivasso, Collegno, Cuneo, Fossano, Grugliasco, Moncalieri, Nichelino, Novara, Novi Ligure, Pinerolo, Rivoli, Settimo Torinese, Torino, Tortona, Venaria Reale, Verbania, Vercelli.