GDPR 2016/679
In seguito a nuove normative Italiane ed Europee la gestione protezione dei dati personali subirà forti modifiche. Solo un'azienda su 5 è a conoscenza del regolamento Europeo, e solo il 27% delle imprese è informato sugli obblighi che questo cambiamento comporterà. Il 10% ha avviato un progetto per adeguarsi.
In particolare
1) La gestione dei dati e privacy sarà la medesima per tutta l'Europa;
2) Sono introdotti sistemi di verifica;
3) Le sanzioni sono particolarmente pesanti.
Viene introdotto l’obbligo di trattare i dati secondo la progettazione “by design” (cioè analizzando il trattamento per tutto il ciclo di vita dei dati. fa riferimento all’obbligo di tutelare i diritti dell’interessato nell’attività di trattamento fin dalla fase della progettazione e per l’intera gestione del ciclo di vita dei dati, ponendo in essere misure di carattere tecnico ed organizzativo quali la minimizzazione e la pseudonimizzazione) e “by default” (cioè il partire da configurazioni “chiuse” dei sistemi informatici, per poi gradualmente ampliarle solo dopo avere valutato l’impatto di eventuali aperture ovvero le impostazioni predefinite devono essere quella che garantiscono il maggior rispetto della privacy, affinché i dati personali non siano resi accessibili ad un numero indefinito di persone senza l’intervento umano);
- La nascita del Data Protection Officer (DPO), che sarà obbligatorio nella Pubblica Amministrazione e nelle aziende private che processano dati a rischio;
- L’obbligo di svolgere il Data Protection Impact Assessment (DPIA), per i trattamenti delicati e ad alto rischio (ad es.. il monitoraggio sistematico e su larga scala);
- L'obbligo di rispettare il “Data breach”, cioè la segnalazione al Garante e all’interessato di eventuali fughe o compromissioni di dati;
- La nascita del Registro delle attività di trattamento, sia per il Responsabile che per l’Incaricato, dove vanno conservate numerose informazioni sul trattamento (è sostanzialmente una estensione del vecchio DPS);
Ruolo proattivo dell’Azienda. Il Titolare del trattamento dovrà adottare politiche ed attuare misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme (fin dalla fase embrionale) a tutte le disposizioni del Regolamento
Aumento delle sanzioni in caso di violazioni.
La nascita di nuovo organismo : il Comitato europeo per la protezione dei dati (considerando n. 72). All'art. 75 è previsto che "Il comitato dispone di una segreteria messa a disposizione dal garante europeo della protezione dei dati", pertanto sarà il Garante europeo per la protezione dei dati personali a gestire questo importante aspetto. Questo Comitato sostituisce il Gruppo europeo del Garanti (Gruppo articolo 29), il cui segretariato è invece attualmente affidato alla Commissione europea
Obbligo di analisi dei rischi compresi quelli informatici circa la sicurezza dei dati. Ovvero la messa in atto di una previa valutazione dei rischi, per proteggere i dati personali dalla distruzione accidentale o illegale o dalla perdita accidentale e per impedire qualsiasi forma illegittima di trattamento.
Pseudonimizzazione e la cifratura dei dati personali, ovvero il principio per cui le informazioni di profilazione debbano essere conservate in una forma che impedisce l’identificazione dell’utente. A tal proposito citiamo l'articolo 30 Sicurezza del trattamento : "Tenuto conto dello stato dell'arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il responsabile del trattamento e l'incaricato del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono tra l'altro, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati in caso di incidente fisico o tecnico; d) una procedura per provare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento."
Tra i nuovi adempimenti, è prevista una nuova figura professionale : il Responsabile per la protezione dei dati personali (Data Protection Officer).
Il Data Protection Officer o, per meglio dire, il Responsabile della Protezione dei Dati, è una nuova figura professionale che va ad inserirsi nel panorama, già nutrito, dei consulenti aziendali sempre più proiettati ad una totale compliance in materia di sicurezza nelle aziende
Il DPO (Data Protection Officer) sarà quindi un manager ma anche obbligatoriamente dovrà avere approfondite conoscenze sia in campo normativo sia in materia di sicurezza informatica.
Le attività del DPO potranno comprendere anche le attività già previste per il ruolo di responsabile privacy.
Il linea generale la qualifica di DPO – Data Protection Officer – di fatto muta l’attività del consulente privacy in azienda.