REGOLAMENTO (UE) 679/2016
- Privacy · Sicurezza dei dati.
Lo schema
Pubblicato il 4 maggio 2016 in G.U., è entrato in vigore il 25 maggio 2018. Il Regolamento sulla protezione dei dati [GDPR – General Data Protection Regulation] impone a tutti i Paesi membri dell’Unione Europea, l’adempimento dei requisiti obbligatori per la gestione, il trattamento e la conservazione dei dati personali.
A CHI SI RIVOLGE IL REGOLAMENTO?
A tutte le Aziende, agli Enti Pubblici, ai Liberi Professionisti e a tutti i Gruppi imprenditoriali, Associazioni e/o Organizzazioni che abbiano sede nella Comunità Europea o che, pur non avendo sede al di fuori della Comunità Europea, gestiscano e trattino dati ed informazioni di cittadini dell’Unione Europea.
QUALI SONO LE NOVITÀ DEL REGOLAMENTO (UE) RISPETTO ALLA NORMATIVA PRECEDENTE?
A parte una più stringente operatività nella gestione dei dati è necessario dare evidenza oggettiva di tutti gli interventi attuati in azienda a garanzia di adempimento dei requisiti richiamati dal Regolamento. Tra le altre novità, vi è l’introduzione di pene più severe per coloro che mettano a rischio i diritti degli individui o che violino i diritti dei cittadini, con sanzioni fino a 20 milioni di euro o con sanzioni pari al 4% sul fatturato totale riferito all’esercizio precedente.
L’azienda dovrà quindi procedere alla valutazione circa le modalità di adozione delle sopracitate garanzie tramite la progettazione e l’attuazione di un sistema di trattamento dei dati al fine di garantire la tutela per gli interessati.
COSA FARE PER ADEMPIERE AL REGOLAMENTO?
Gli interventi per avviare il processo di compliance al Regolamento (UE) 679/2016 utilizzati e consolidati da diversi mesi da KORECON Italia, sono i seguenti:
- Analisi dei dati e recepimento delle informazioni da parte dei Consulenti Korecon con esperienze in ambito giuridico e tecnico nello sviluppo di Sistemi di Gestione. Tale attività verrà effettuata tramite la sottoscrizione da parte di Korecon del Patto di Riservatezza, N.D.A. e con la consegna dell’informativa secondo i nuovi dettami cogenti. L’analisi dei dati, operata tramite la nostra Check List per la verifica della conformità legislativa e per l’analisi del rischio, consiste nell’effettuare:
- una puntuale analisi della tipologia dei dati, del loro attuale trattamento e conservazione, con una particolare attenzione alle parti interessate coinvolte;
- l’analisi delle procedure attuate in azienda per la gestione, il trattamento e la conservazione, all’origine, dei dati e dei sistemi (cartacei o informatici) utilizzati per l’attuazione delle policy di sicurezza;
- l'analisi dei sistemi utilizzati per la capacità di conservazione, il ripristino, i sistemi di anti-intrusione, le policy per l’eventuale gestione del Disaster Recovery, etc…
- Le risultanze di tale fase di analisi costituiranno le basi per la successiva attività di rating e compliance che si concludono con il pieno supporto nella predisposizione dei protocolli necessari finalizzati alla più adesa rispondenza dei requisiti richiamati dal Regolamento. A titolo esemplificativo ma non esaustivo:
- informative, mappatura degli accessi, predisposizione di procedure efficienti per l’accesso ai dati personali da parte dell’interessato, anche per l’ipotesi di modifica/rettifica/cancellazione;
- nel caso di richieste di portabilità avanzate dall’interessato: la predisposizione, redazione del sistema di nomine e deleghe, la predisposizione del documento di valutazione dei rischi (DPIA) nei casi di rischio elevato (o nei casi espressamente indicati nel GDPR), elaborazione di procedure di immediata comunicazione per il caso di violazione dei dati all’Autorità competente; designazione, nei casi espressamente previsti dal Regolamento, del Data Protection Officer (DPO), etc etc…
Il supporto di KORECON Italia
KORECON Italia Vi può assistere nella scelta di uno o più interventi di seguito elencati:
- per la fase istruttoria “analisi dei dati e del rischio”;
- per la fase iniziale di analisi dei dati, valutazione dei rischi e predisposizione dei protocolli in ottemperanza all’ adempimento del Regolamento;
- per la fase di mantenimento della conformità legislativa e attività di Audit per la verifica della funzionalità ed efficacia dei protocolli adottati, annualmente a cadenze definite, in relazione alla criticità dei protocolli stessi;
- per l’assunzione della carica di DPO;
- per l’attività di riesame dei protocolli adottati in ottemperanza al Reg. (UE) 679/2016 e per l’introduzione degli stessi nel Sistema di Gestione ISO/IEC 27001 e nel Modello di Organizzazione, Gestione e Controllo ex D.Lgs. 231/2001.
Condizionale
ISO/IEC 27001 - “Sistema di Gestione per la Sicurezza delle Informazioni”
Per le Aziende che abbiano adottato e/o seguano le linee guida della norma ISO 27001 o che siano certificate con il seguente schema, pur non costituendo compliance legislativa, hanno la facoltà di integrare nel loro Sistema di Gestione alcuni aspetti richiamati dal Regolamento rafforzandone maggiormente il controllo sia per la conformità normativa che per gli aspetti regolamentari.
D.Lgs. 231/2001 “Modello di organizzazione, gestione e controllo”
Per le aziende che abbiano adottato il M.O. ex D.Lgs. 231, anche se non introdotti nel Testo Disciplinare i reati in materia di Privacy, possono essere integrati tra i protocolli adottati nel M.O. le procedure, istruzioni, direttive o policy, nella fattispecie dei reati per delitti informatici e trattamento illecito di dati [art.24-bis, D.Lgs. 231/2001 – art. aggiunto dalla Legge nr. 48/2008 e modificato dal D.Lgs 07/2016 e D.Lgs. 08/2016].
Richiedi maggiori informazioni