Il 25 maggio entra in vigore la nuova normativa privacy 2018 ovvero il nuovo Regolamento UE sulla Privacy o GDPR (General Data Protection Regulation) 2016/679 del Parlamento Europeo e del Consiglio del 27.04.2016, relativo alla “protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.
Il Regolamento abroga la Direttiva 95/46/CEE (regolamento generale sulla protezione dei dati) – recepita in Italia dall’attuale Codice sulla Privacy con Decreto Legislativo n. 196/2003 e dal prossimo 25 maggio si applicherà a tutte le aziende aventi almeno uno stabilimento nell’UE, che trattano in modo integrale o parziale, automatizzato o non, i dati personali, indipendentemente dal fatto che il trattamento sia effettuato all’interno dell’Unione.
Il modello di organizzazione
Per adeguarsi alla nuova normativa privacy 2018, le imprese devono quindi rivedere la compliance interna, adeguare policy e organizzazione interna, introducendo una sorta di “dossier privacy” o “modello di organizzazione privacy”, che racchiuda tutti gli adempimenti necessari ad assicurare la riservatezza finalizzata a garantire la protezione dei dati e delle informazioni personali che trattano e conservano. Non esiste più un catalogo di misure minime da adottare per la tutela dei dati, misure che, quindi garantiscono il titolare da sanzioni e imprevisti. I titolari dovranno mettere in atto le misure tecniche e organizzative che di volta in volta siano adeguate, anche alla luce delle innovazioni tecnologiche, a garantire la tutela dei diritti degli interessati. Ogni titolare, dunque, sarà responsabile dei propri sistemi e della loro tenuta (a priori e a posteriori) di fronte a possibili violazioni o incidenti.
La formazione
Come già in materia di sicurezza sul lavoro, va prevista una formazione specifica ed efficace, che andrà anche debitamente documentata e inserita nei documenti e nei processi sulla privacy interni. La formazione andrà poi ripetuta e, soprattutto, aggiornata secondo i cambiamenti delle attività e del tipo di dati trattati.
Tale modello organizzativo presenta molti punti di contatto e somiglianze con le disposizioni del decreto legislativo n. 231/2001 in materia di responsabilità amministrativa delle persone giuridiche.
Le aziende devono pianificare e realizzare corsi di formazione di vario livello al fine di diffondere una cultura di responsabilità all’interno dell’impresa, rivolti soprattutto al personale che ha accesso permanente o regolare ai dati personali.
Incaricati al trattamento
Si parte con la revisione dell’organigramma, prestando cioè attenzione alla presenza delle nomine esistenti e alla descrizione dei nuovi compiti assegnati al titolare, al responsabile del trattamento, agli incaricati al trattamento.
A ciò si accompagna la verifica circa l’obbligatorietà, per i casi espressamente indicati dalla normativa, o la mera opportunità di nominare un Data protection officer (Dpo), una figura professionale con particolari competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi.
Valutazione dei rischi privacy
E’ previsto l’obbligo di provvedere alla valutazione dei rischi privacy (risk assessment privacy), destinata inevitabilmente a confluire in un documento riepilogativo delle analisi effettuate. In esso sono individuati i possibili rischi associati alle distinte attività svolte, passaggio che presuppone la previa disamina dei rispettivi processi aziendali nell’ambito dei quali sono trattati i dati. 2
In questa valutazione si deve tenere conto dell’identità dei soggetti interessati al trattamento (ad esempio, dipendenti o fornitori), delle finalità del trattamento nonché delle tipologie (ad esempio, dati sanitari, anagrafici o altri) e delle categorie di trattamento, entro le quali sono compresi i dati gestiti dall’azienda.
Sarà necessario, inoltre, garantire un costante aggiornamento a questo documento in occasione di possibili mutamenti sia organizzativi che normativi in grado di incidere sul trattamento dei dati messi a disposizione delle imprese.
Le violazioni della normativa privacy 2018
E’ infine richiesta l’introduzione di specifiche modalità di presentazione delle comunicazioni , anche al Garante della Privacy, circa eventuali violazioni della normativa privacy 2018 riscontrate sui dati personali (data breach): sarà utile predisporre moduli distinti a seconda delle tipologie di violazione riscontrata, individuare un ufficio responsabile per ricevere le segnalazioni oltre che individuare le eventuali iniziative da intraprendere, a livello organizzativo e tecnico, capaci di porre rimedio alle irregolarità che si sono verificate.
Il codice di condotta
Infine allo scopo di sensibilizzare tutto il personale dipendente, nonché funzioni aziendali impiegate a ogni livello nell’assessment societario, è prevista l’implementazione di un codice di condotta per garantire la corretta osservanza delle prescrizioni del regolamento UE, da elaborare tenuto conto delle peculiarità settoriale e delle conseguenze specifiche delle micro, piccole e medie imprese.