Il regolamento Europeo 2016/679 concernente la tutela delle persone fisiche, con particolare riguardo al trattamento dei dati personali e la libera circolazione di tali dati, è entrato in vigore il 24 maggio 2016 ed è divenuto direttamente applicabile in tutti gli Stati membri a far data dal 25 maggio 2018. Da allora sono trascorsi oltre 5 ANNI.
Con successivo decreto (D.Lgs. 101/18) il legislatore italiano ha armonizzato la precedente normativa di protezione dei dati personali, novellando il D.Lgs. 196/03; la normativa italiana è quindi costituita dal Regolamento (RGDP) e dal Codice (196), così come novellato dal D.Lgs. 101/18.
Il Regolamento Europeo porta significative innovazioni non solo per i cittadini, ma anche per le aziende, gli enti pubblici, le associazioni, i liberi professionisti; imprese ed enti avranno più responsabilità, ma potranno anche beneficiare di diverse semplificazioni; in caso di inosservanza delle regole sono previste sanzioni, anche elevate.
Il GDPR è nato per rendere omogeneo il trattamento di dati personali nella intera Unione, a differenza di quanto avveniva precedentemente, quando ogni stato aveva normative di tutela non sovrapponibili e spesso disomogenee; esso intende quindi creare una struttura coerente di regole europee, incentivare il mercato unico digitale della comunità europea.
Inoltre serve a ridare fiducia ai consumatori, demotivati da anni di violazioni dei propri dati personali e sfiduciati dai numerosi fatti clamorosi accaduti a loro danno.
Proteggere i dati personali e contestualmente proteggere la business continuity aziendale.
Ogni nuovo anno i report internazionali riferiscono che è stato il peggiore per la sicurezza da sempre, e la tendenza non accenna ad invertirsi; l’Italia si trova nella TOP TEN dei paesi più colpiti al mondo; il calcolo dei danni derivanti da azioni di malware e strumenti di attacco cyber ha assunto cifre impensabili. Molti attacchi mettono a rischio la continuita operativa delle aziende e – in sintesi – il loro futuro.
Cosa occorre fare?
Dal 2018, non si tratta più di predisporre documentazione (le due firmette sulle scartoffie che menziona il Prof. Pizzetti, past president della Autorità Garante Privacy); si tratta di proteggere i trattamenti dei dati delle persone fisiche. La dataprotection non è più attività “una tantum” ma un processo costante. Occorre quindi definire un modello organizzativo adeguato alla azienda, formare consapevolezza, predisporre procedure, effettuare controlli, rivalutare quanto fatto, in un ciclo virtuoso teso al miglioramento costante.
Quali caratteristiche deve avere una consulenza sulla normativa privacy e sulla protezione dei dati personali?
Non sono sufficienti perfetta conoscenza delle norme e bollini; il consulente alla protezione dei dati personali è un professionista che ha competenze, esperienza, formazione verticali e multidisciplinari, e che da anni svolge attività di consulenza e formazione relative alla protezione dei dati personali e delle infrastrutture di trattamento.
Mai come oggi, risulta difficile assommare tutte le necessarie competenze in un unico soggetto; occorre disporre di un team affiatato, che raccolga al suo interno tutte le competenze e l’esperienza adeguata per offrire soluzioni complete ed all’altezza, alle organizzazioni italiane.
Riservatezza e consulenza globale.
In molte organizzazioni, la riservatezza è un requisito fondamentale del rapporto con un consulente; sappiamo bene che molti aspetti debbono essere mantenuti confidenziali. Per questo, non deleghiamo nessuna attività strategica all’esterno del nostro team. In ossequio alla nostra visione e ai codici deontologici delle nostre associazioni di riferimento, qualora all’interno del nostro STUDIO non vi siano le competenze necessarie a svolgere al meglio l’incarico richiesto, preferiamo declinarlo.
Rilevato che molte organizzazioni adottano anche ulteriori modelli organizzativi (ad esempio 231/01), informiamo che abbiamo sviluppato un modello organizzativo composito GDPR / 231 ottimizzato per evitare sovrapposizioni e ridondanze di attività.
Formazione delle figure in organigramma privacy.
Abbiamo spesso scritto come la formazione della consapevolezza delle figure in organigramma privacy (incaricati al trattamento, amministratori di sistema, referenti privacy, ecc.) e delle loro competenze sia determinante al fine di fondare in linguaggio comune ed evitare “incidenti privacy”, spesso causati da comportamenti errati inconsapevoli.
Essendo tale formazione importantissima, la proponiamo direttamente, sia con corsi frontali che tramite formazione a distanza (FAD); a tale proposito, abbiamo predisposto (già nel 2018) una nostra piattaforma LMS per la formazione a distanza dei vari soggetti operanti presso le organizzazioni nostre clienti.
Richiedete un primo incontro, informale e non vincolante, per valutare la vostra situazione attuale e definire un eventuale percorso di adeguamento. Oppure solo per avere un nostro parere su uno specifico ambito che genera dubbi ed incertezze.
Svolgo consulenza GDPR privacy sicurezza informatica in tutte le provincie della Toscana (Arezzo, Siena, Grosseto, Livorno, Lucca, Massa e Carrara, Pisa, Pistoia, Prato) e nelle regioni limitrofe (Lazio, Umbria, Emilia Romagna).