GDPR e sistemi di Privacy | Delaini & Partners
X
x
x




X

22 settembre 2017
Gravina in Puglia
non mancare!
x

X



Avv. Marco Soffientini
X









X
X
GDPR, una sigla che sentiamo citare con insistenza sempre maggiore e che viene percepita come una specie di oscura minaccia, l'ennesimo adempimento che viene chiesto alle aziende italiane e che porterà impegni e costi a fronte di non si sa bene che cosa.
Per fornire un punto di vista sintetico e qualificato, ci siamo rivolti ad ETHOS ACADEMY che ha coinvolto per noi uno specialista, l'Avv. Marco Soffientini del Foro di Arezzo, esperto di Privacy e Diritto delle Nuove Tecnologie.


Il 25 maggio 2018 diventerà pienamente esecutivo in tutta l’Unione Europea il Regolamento (UE) 2016/679 (RGPD o GDPR) Regolamento Generale sulla Protezione dei Dati (RGPD) o in inglese General Data Protection Regulation (GDPR). del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati e che abroga la direttiva 95/46/CE (GUUE 4 maggio 2016, L 119/1).

La nuova disciplina europea in tema di protezione dei dati personali, è destinata ad incidere sui modelli societari di governance dei dati, perché da un lato obbligherà tutte le aziende alla revisione dei propri modelli di sistemi di gestione privacy alla luce dei principi che regolano e disciplinano il nuovo regolamento Ue 2016/679 (accountability, privacy by design/default, valutazione di impatto privacy, ecc,), e dall’altro rappresenterà una nuova opportunità di business per gli specialisti del settore.

Nell’ambito di questo nuovo scenario, i titolari di aziende, a prescindere dalle dimensioni numeriche e/o di fatturato, dovranno effettuare un dettagliato censimento dei trattamenti in essere (da far risultare in un registro apposito di cui si dirà tra breve) e, dopo averne valutato i rischi dovranno costruire un idoneo modello di gestione privacy, applicando il principio cardine introdotto dalla disciplina europea e sintetizzato dall'espressione inglese "data protection by default and by design", ossia dalla necessità di configurare il trattamento prevedendo fin dall'inizio le garanzie indispensabili "al fine di soddisfare i requisiti" del regolamento e tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio e richiede, pertanto, un'analisi preventiva e un impegno applicativo da parte dei titolari, che deve sostanziarsi in una serie di attività specifiche e dimostrabili. Fra tali attività, la valutazione d’impatto privacy ha la finalità di evidenziare il rischio del trattamento che è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati. Ulteriore strumento di cui è consigliabile l’adozione da parte di tutti i titolari è Il registro dei trattamenti.

Il regolamento stabilisce che tutti i titolari di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda art. 30, comma 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all'art. 30.
Si tratta di uno strumento fondamentale, non soltanto ai fini dell'eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda, indispensabile per ogni valutazione e analisi del rischio. Il registro, il cui contenuto minimo è indicato nell'art. 30, deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
La tenuta del registro dei trattamenti non costituisce un adempimento formale, bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, la nostra Autorità Garante raccomanda a tutti i titolari di trattamento, a prescindere dalle dimensioni dell'organizzazione, di compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un'accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche.

Il 25 maggio 2018 si avvicina e gli adempimenti di natura sostanziale e non formale richiesti dal nuovo Regolamento (Ue) 2016/679 necessitano di tempo e impegno adeguati.


X
Approfondimenti
X




Alberto