General Data Protection Regulation

Dal DPS al GDPR


Il nuovo Modello Organizzativo sul Trattamento dei Dati Regolamento Europeo Privacy Ue 2016/679
Il 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell'Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali. Si tratta del passaggio finale per l'entrata in vigore del nuovo "Pacchetto protezione dati", l'insieme normativo che definisce un quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell'UE. Il regolamento è entrato in vigore il 24 maggio 2016 ma troverà applicazione negli Stati solo alla data del 25 maggio 2018 : le imprese e le pubbliche amministrazioni hanno pertanto due anni (un periodo di tempo congruo ma non troppo ampio) per organizzarsi e adeguarsi alle nuove regole. Il che non significa che automaticamente verrà abrogato il nostro D.lgs 196/2003, quindi almeno per un po’ di tempo le due norme convivranno. E’ opportuno quindi mantenere attivo il DPS e verificare almeno una volta l'anno che i requisiti richiesti dalla normativa ( lettere di incarico ai responsabili dei trattamenti, archiviazione dei documenti contenenti dati sensibili, salvataggi costanti e protetti, rotazione delle password …) siano rispettati redigendo un rapporto dettagliato a disposizione degli organi di controllo. Nel nuovo regolamento la definizione data protection ha preso il posto della parola privacy. Il termine scelto ha un significato molto più vasto e pone l’accento su un cambio di prospettiva: il problema di fondo non è semplicemente essere in possesso di dati sensibili, ma saperli gestire nel modo corretto.


Tra le principali novità


l’obbligo di trattare i dati secondo la progettazione “by design” (cioè analizzando il trattamento per tutto il ciclo di vita dei dati.) e “by default” (cioè il partire da configurazioni “chiuse” dei sistemi informatici, per poi gradualmente ampliarle solo dopo avere valutato l’impatto di eventuali aperture); la nascita del Data Protection Officer (DPO), che sarà obbligatorio nella Pubblica Amministrazione e nelle aziende private che processano dati a rischio (ad es.: il trattamento su larga scala di speciali categorie di dati quali quelli sensibili); l’obbligo di svolgere il Data Protection Impact Assessment (DPIA), per i trattamenti delicati e ad alto rischio, tranne nel caso in cui il trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche. In tal caso il responsabile dovrà preventivamente consultare l’Autorità di controllo; L’obbligo di rispettare il “Data breach”, ccioè la segnalazione al Garante e all’interessato di eventuali fughe o compromissioni di dati.



I soggetti coinvolti nel nuovo modello organizzativo sul trattamento dei dati


Il Titolare del Trattamento, ora chiamato Data Controller o Responsabile del trattamento, dotato di un potere decisionale in ordine alle tecniche da adottare e alle misure organizzative, al fine di garantire la conformità al Regolamento delle operazioni di trattamento dei dati. Il Responsabile esterno del Trattamento/Amministratore di Sistema, ora chiamato Joint Controller o Co-responsabile del trattamento (ad esempio ad un fornitore di servizi in Cloud). Il responsabile ed incaricato del trattamento, ora chiamato Data Processor e Incaricato del Trattamento o più semplicemente Data Handler, sarà l’attuale responsabile e potrà procedere al trattamento dei dati solo su istruzione del responsabile. Il responsabile della sicurezza dei dati, ora chiamato Data Protection Officer (DPO). Nel nuovo Regolamento generale sulla protezione dei dati, si nota subito un cambio di definizioni, laddove la figura del Responsabile del trattamento come prevista dall’art. 29 del D.Lgs. n. 196/2003 avrà una nuova denominazione con nuovi compiti e funzioni (tra l’altro precisamente stabiliti nel testo europeo citato). Per essere più chiari possibile, la figura che, ad oggi, viene denominata come Titolare del trattamento, una volta entrato in vigore il citato Regolamento UE, assumerà il nome di Responsabile del trattamento. Si aggiunga che la figura dell’Incaricato del trattamento, così come prevista dall’art. 30 dell’attuale Codice privacy, scomparirà completamente. Altra novità sarà la possibilità (in questo caso concessa al Data Subject o Soggetto Interessato) di esercitare i propri diritti nei confronti di ciascun Data Controller Congiunto del trattamento oppure al Joint Controller. Un elemento cruciale differenzia un Data Protection Officer o DPO da un responsabile privacy ex art. 29, mentre il primo deve essere indipendente e autonomo, il secondo deve agire seguendo solo e soltanto le istruzioni del titolare del trattamento, pertanto, un vincolo che impedisce di godere di ampia indipendenza, tipica invece del nuovo ruolo del DPO.
La nostra società offre:

  • Consulenza: Introduzione al nuovo GDPR; quali impatti, quali responsabilità, quali sanzioni, approccio metodologico
  • Formazione: corsi di formazione per il tuo organico in base alla posizione aziendale
  • Assessment: analisi dei rischi e dell’impatto del nuovo GDPR sull’azienda, GAP Analysis AS IS - TO BE
  • Disegno dei processi: consulenza nel disegno di nuovi processi operativi
  • DPO on demand: un servizio di un nostro consulente esperto DPO



Via Alfredo Soffredini, 39
20126 - Milano

Telefono: 02.36576780
Email: segreteria@eduteam.biz

Newsletter


Iscriviti per ricevere aggiornamenti sulle nostre proposte e attività future.

Privacy