081/7644476 | 02/39297878 info@studiogaeta.com
GDPR – Protezione dei dati personali – proviamo a fare un pò di chiarezza

GDPR – Protezione dei dati personali – proviamo a fare un pò di chiarezza

GDPR – Protezione dei dati personali – proviamo a fare un pò di chiarezza

Il 25 maggio è diventato operativo il nuovo Regolamento Europeo 679/2016 sulla protezione dei dati personali; nessuna moratoria o periodo di introduzione previsto … il Regolamento è entrato in vigore 2 anni fa (2016); l’Autorità Garante in un recente incontro è stata chiara a riguardo.

Riassumiamo in breve alcuni aspetti principali:

  1. Il regolamento si applica al trattamento di dati personali automatizzato o meno;
  2. l’ambito di applicazione riguarda solo le persone fisiche;
  3. l’attuale normativa (D.Lgs. 196/2003) sarà in parte abrogata. L’Autorità Garante ha in fase di approvazione (il termine è previsto per il 21 agosto), un decreto di raccordo tra la normativa precedente e il Regolamento, ma al momento non c’è ancora nulla di certo, se non che entrambe le norme sono in vigore, e per effetto del principio di gerarchia delle fonti, in caso di norme in contrasto, vige il Regolamento Europeo;
  4. non esistono requisiti minimi di adeguamento alla norma, ognuno deve analizzare la propria struttura e la propria realtà e mettere in atto le misure adeguate.

Cos’è un dato personale

  • Qualsiasi informazione riguardante una persona fisica identificata o identificabile direttamente o indirettamente (ad esempio: nome, ID, codice fiscale, dati di geolocalizzazione, soprannomi o nicknames).
  • Categorie particolari di dati personali: quelli che rivelano l’origine etnica, raziale, le opinioni politiche le convinzioni religiose o filosofie, l’appartenenza a sindacati, i dati genetici, biometrici, relativi allo stato di salute, alla vita o all’orientamento

Cosa vuol dire trattare un dato

Significa qualsiasi operazione di: Raccolta, Registrazione, Organizzazione, Strutturazione, Modifica, Estrazione, Consultazione, Comunicazione, Trasmissione, Raffronto, Limitazione, ed anche    Conservazione e Cancellazione compiuta su dati personali.

Chi tratta dati personali

  • Praticamente chiunque
  • Non esiste attività economica che non abbia a che fare (poco o tanto) con dati personali.

Ad esempio: dati anagrafici di Clienti e Fornitori in via diretta o derivata (clienti del mio cliente), dipendenti, potenziali contatti, indirizzi mail, biglietti da visita, immagini, ecc.

Quali sono le azioni fondamentali da intraprendere

Il concetto di “accountability” cioè di Responsabilizzazione è di importanza fondamentale; in sintesi l’Azienda deve dimostrare di avere adottato misure di protezione adeguate, lasciando però alla discrezionalità del Titolare del trattamento la decisione circa quantità e qualità dei mezzi e delle azioni da adottare e imponendo altresì il mantenimento della sicurezza dei trattamenti nel tempo.

Non sarà quindi più sufficiente intendere la protezione del dato come sistema statico, ma sarà necessario procedere a valutazioni periodiche dell’esistente e ad analisi preventive in caso di introduzione di nuove tipologie di trattamento.

Ciò significa una valutazione del contesto in cui avviene il trattamento perché non è necessariamente detto che ciò che andava bene prima possa andare bene anche dopo

L’Autorità Garante viene in aiuto indicando alcune misure sicuramente utili:

  • lo svolgimento di una documentata analisi del rischio;
  • l’istituzione del Registro di Trattamento previsto dall’Art. 30 del Regolamento Europeo, indipendentemente dal possesso dei requisiti che lo rendono obbligatorio;
  • l’informazione dei propri dipendenti per mezzo di redazione di istruzioni scritte (procedure più o meno formalizzate);
  • la revisione dell’informativa resa agli interessati;
  • l’adozione di misure tecniche volte a garantire la sicurezza dei sistemi informatici;
  • le nomine dei Responsabili di trattamento.

In ogni caso queste azioni non costituiscono in alcun modo un “minimo necessario o sufficiente”, ben potendo essere insufficienti in relazione alla complessità, dimensione o attività aziendale, rendendo necessarie misure differenti tra un’azienda e l’altra, anche se operanti nel medesimo settore.

Una cosa comunque è pacifica: rimanere inattivi è assolutamente sconsigliabile.

Dott. Michele Rescigno

membro di Nexus Alliance

michele.rescigno@nexusalliance.it

 

Michele Rescigno è un esperto di privacy ed analisi finanziaria, fa parte di “Nexus Alliance”, un network di professionisti che ha sede a Milano in Via A. Albricci 8 di cui fanno parte il dott. Paolo Gaeta, attualmente amministratore unico di Nexus Alliance, e numerosi altri professionisti che individualmente o in team si occupano di consulenza in area legale, tributaria, patrimoniale e consulenza del lavoro con sedi in Milano, Roma e Napoli. Un squadra che nel complesso è formata da circa 100 persone.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *