Con l’entrata in vigore del nuovo Regolamento Europeo UE 2016/679 il prossimo 25 maggio 2018 ci saranno importanti cambiamenti per tutte le aziende che hanno a che fare con il trattamento dei dati. Il nuovo Regolamento è stato introdotto dall’Unione Europea per rispondere all’esigenza di una maggiore protezione dei dati personali avvertita dai cittadini Europei. Ma molte imprese e altrettanti enti pubblici si trovano ancora impreparati ad accogliere le novità introdotte dal GDPR (General Data Protection Regulation). 

Il periodo transitorio di introduzione del nuovo Regolamento può risultare complicato e pieno di dubbi. Ecco perché è bene rivolgersi a professionisti qualificati che non vanifichino la nostra volontà di adeguarsi alla legge. 

Abbiamo intervistato Alessandro Corti di Pangea Consulenze, che lo scorso 23 marzo ha ottenuto la qualifica di Responsabile della Protezione Dati (DPO) diventando uno dei primi 10 professionisti in Italia ad aver frequentato con successo il corso di alta specializzazione con esame di abilitazione finale secondo la certificazione UNI 11697:2017. Le novità introdotte saranno illustrate in un seminario gratuito dal titolo "Il nuovo Regolamento Europeo sulla Privacy", organizzato in collaborazione con API Siena che si svolgerà il 20 aprile 2018, alle ore 15.00 a Colle Val d’Elsa, presso la sede di PANGEA Consulenze Srl (Loc. San Marziale 16d). Lo scopo di questo seminario sarà, appunto, quello di informare sulle novità introdotte dal nuovo Regolamento Europeo UE 32016/679 e sull'adeguamento da parte di tutte le aziende entro la data del 25/05/2018.

Come adeguarsi al nuovo Regolamento Europeo UE 32016/679 sulla Privacy?

«Tutte le aziende che gestiscono dati (per dato si intende qualunque informazione che rende identificabile direttamente o indirettamente un interessato) avranno tempo fino al 24 maggio per ripensare i processi di trattamenti e conformarli alle principali novità del Regolamento. Nei casi in cui sarà necessario, le aziende dovranno anche dotarsi di un Responsabile della protezione dei dati (Data Protection Officer - DPO)».

Quando è necessario nominare il Responsabile per la Protezione dei Dati e che competenze deve avere ?

«Il Responsabile della Protezione dei Dati (meglio noto come DPO) deve essere nominato solo in determinati casi come previsto dall’Art.37 del Regolamento. La sua funzione è quella di supportare il Titolare o il Responsabile del Trattamento nell’applicazione del regolamento.

Tale figura deve essere designata in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e della capacità di assolvere i compiti a lui assegnati dall’art.39.

La norma purtroppo non definisce in maniera precisa le competenze specifiche ma lascia al titolare scegliere. È evidente che alla luce di quanto sopra indicato è necessario che nella scelta venga valutata l’esperienza in campo privacy, valutando la formazione specifica e i lavori svolti negli anni passati, visto anche le sanzioni di € 10.000.000,00 + 2% del fatturato nel caso in cui tale figura non venga nominata o ne venga nominata un professionista senza le dovute competenze».

Quali sono i soggetti obbligati alla sottoscrizione del nuovo Regolamento?

«Tutte le aziende e le pubbliche amministrazioni che si trovino a gestire i dati di persone fisiche. I dati di persone giuridiche sono esclusi dalla sua applicazione. Ma quando parliamo di persone giuridiche non si intendono anche i dati dei dipendenti, soci o del titolare. Queste informazioni sono comunque di persone fisiche quindi anche quando si parla di società sicuramente alcuni adempimenti sono necessari».

Per evitare sanzioni come dobbiamo comportarci in questo primo periodo trasitorio? E quanto tempo abbiamo per adeguarci?

«Sicuramente è necessario iniziare a:

- fare nuovo censimento di tutti i dati e dei trattamenti: individuare i dati trattati, individuare la base giuridica, verificare la durata della conservazione dei dati e a chi vengono comunicati…

- effettuare una valutazione dei rischi e verificare se presentano un rischio elevato per i diritti e le libertà delle persone fisiche: in caso affermativo verificare se necessario effettuare la valutazione di impatto sulla privacy (PIA – Privacy Impact Assessment)

- Fare analisi dei trattamenti in corso per verificare la loro compliance il regolamento ai sensi dell’Art.25 (Privacy by Design – Privacy By default);

- Formalizzare organigramma della privacy: identificare le varie figure coinvolte nel trattamento (sia interne che esterne), verificare che gli incarichi ai Responsabili siano contrattualizzati, verificare che i Responsabili esterni non abbiano dei sub-responsabili, individuare gli incaricati al trattamento, verificare che non ci si trovi nella situazione di Contitolarità (es. studi associati)

- Nominare il Responsabile della Protezione dei dati ove obbligatorio o opportuno

- Redigere il registro dei trattamenti

- Formare tutto il personale»

A che tipo di sanzioni si può andare incontro?

«Le sanzioni sono molto importanti, possono arrivare fino ad un massimo di € 20.000.000,00 e fino al 4% del fatturato totale. Le sanzioni verranno applicate in base a 3 principi fondamentali: dovranno essere effettive, proporzionate e dissuasive (Art.84 c.1)».

Cosa cambia per il responsabile della protezione dei dati di un’azienda?

«Il responsabile della protezione dei dati è una nuova figura introdotta da questo Regolamento Europeo ed è obbligatoria in certe realtà (enti pubblici) o settori privati ove il trattamento di certi dati comuni o particolari sono particolarmente importanti.

La norma non chiarisce bene (a parte enti pubblici) le attività in cui tale figura è obbligatoria, quindi è necessario valutare e in caso di dubbi è bene procedere alla sua nomina. Sicuramente è consigliato negli studi dove vengono trattati dati di più aziende anche sensibili come ad esempio consulenti del lavoro.

Questa deve avere competenze specifiche nella conoscenza e sicurezza del trattamento dei dati e deve essere di supporto e consulente del titolare. Il nominativo del responsabile della protezione dei dati dovrà essere comunicato al garante della privacy e sarà la persona che per legge diventerà il referente aziendali con il garante in caso di ispezioni». 

Per informazioni e iscrizioni al seminario

www.pangeaconsulenze.it
[email protected]
tel. 0577 043092
Loc. San Marziale 16
53034 Colle Val d’Elsa

Pubblicato il 4 aprile 2018