Comply Consulting - governance, procedure e controlli interni

Comply Consulting - governance, procedure e controlli interni

  
 

Principali novità introdotte dal recente Regolamento UE in materia di protezione dei dati personali

Il 25 maggio 2018 diventerà definitivamente applicabile in via diretta in tutti i Paesi UE il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio sulla Protezione dei dati personali.

Il 25 maggio 2018 diventerà definitivamente applicabile in via diretta in tutti i Paesi UE il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio sulla Protezione dei dati personali (c.d. “GDPR”), pubblicato lo scorso 4 maggio 2016 sulla Gazzetta Ufficiale dell’Unione Europea.  

A partire da tale data, infatti, dovrà essere garantito il perfetto allineamento fra la normativa nazionale in materia di protezione dati e le disposizioni del Regolamento.

Con il Regolamento Europeo cambia radicalmente l'approccio di Compliance Normativa alla Privacy.

Da ciò scaturisce l’esigenza di implementare all'interno del sistema organizzativo delle società un Sistema di gestione della privacy con procedure ed istruzioni operative specifiche, che si fonda su un adeguato processo di risk assessment finalizzato alla valutazione del rischio Privacy (cd. Privacy Impact Assessment). Esigenza che si pone per qualsiasi società, indipendentemente dalle soglie di fatturato.

Ciò con l’obiettivo di prevenire il rischio di un trattamento illecito e ridurre i costi e i danni reputazionali che potrebbero derivare dalla violazione della normativa in materia di protezione dei dati.

Principali novità del Regolamento UE

Il Regolamento presenta numerose novità rispetto all'attuale Codice della Privacy tra le quali si evidenziano di seguito: 

  1. il Principi della "Privacy by design" e della "Privacy by default": il primo principio si concretizza nell’esigenza di tenere in considerazione la Privacy a partire dalla progettazione di un processo aziendale. Il secondo caposaldo consiste invece nel porre in essere misure tecniche ed organizzative adeguate per garantire che siano trattati solo i dati personali necessari per ogni specifica finalità del trattamento.

  1. il "Data Privacy impact assessment", strumento tramite il quale il titolare del trattamento dei dati assieme al Data Protection Officer effettua, prima di procedere al trattamento, una valutazione d'impatto sulla protezione dei dati, nel caso in cui la gestione degli stessi possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

  1. il "Data Breach”, secondo cui si prevede a carico del titolare del trattamento l’obbligo, in caso di violazione o perdita dei dati personali, di notificare il fatto al più presto (e comunque non oltre 72 ore) all'Autorità di controllo competente e in taluni casi all'interessato.

  1. la tenuta dei “Registri delle attività di Trattamento” svolta sotto la propria responsabilità da parte del Titolare e del responsabile dei trattamenti.

  1. i contenuti dell’informativa sono elencati in modo tassativo dal GDPR e in parte sono più ampi rispetto al Codice Privacy. Cambia la forma dell’informativa, che deve essere concisa, trasparente, intelligibile per l’interessato e facilmente accessibile;

  1. il diritto di ottenere la cancellazione dei dati personali senza ingiustificato ritardo in presenza di specifici presupposti (“right to be forgotten” o diritto all’oblio). Ciò comporta l’onere in capo al Titolare del trattamento di trovare soluzioni tecniche in grado di assicurare la cancellazione automatica dei dati non solo sul singolo sistema aziendale tramite il quale i dati sono stati raccolti, ma anche su tutti gli altri sistemi all’interno dei quali tali dati sono eventualmente circolati / trattati.

  1. l’introduzione della figura del Data Protection Officer (c.d. DPO). Il DPO è un soggetto con competenze giuridiche, informatiche, di risk management, di analisi dei processi che ha il compito di valutare, organizzare e governare la gestione del trattamento dei dati nel rispetto della nuova normativa. Tale figura può essere un dipendente del titolare del trattamento o del responsabile oppure svolgere i suoi compiti in base ad un contratto di servizi ad un professionista esterno. Può inoltre svolgere tale compito a tempo pieno o part time e deve essere in grado esercitare le proprie funzioni e compiti in modo indipendente.

 

Sanzioni

Le sanzioni previste dal Regolamento UE, in caso di violazione di norme, sono particolarmente pesanti.

Infatti, il Regolamento sancisce che la violazione di determinate disposizioni è soggetta a sanzioni pecuniarie fino a 20.000.000 €, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

L’Autorità Garante per la Privacy si avvale di un nucleo speciale della Guardia di Finanza, con il compito specifico di effettuare indagini ed ispezioni.

A cura di Comply Consulting

Comply Consulting, nell’ambito dell’assistenza integrata che abitualmente offre ai propri clienti, ha raggiunto una partnership con uno Studio Legale altamente specializzato in materia di privacy, con il quale sarà in grado di assistervi in ogni fase del processo di adeguamento alle nuove richieste regolamentari. Per maggiori informazioni è possibile contattarci al seguente indirizzo email: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

 

Cliccando su "Accetto", do il consenso all'utilizzo degli eventuali cookie necessari durante la navigazione di questo sito web.