notizie




10.05.2018 | Autore: ANSAP - TEAMLAB SRL-S
LEGGE SULLA PRIVACY
Il Nuovo Regolamento Europeo n. 2016/679


Premessa
Il Nuovo Regolamento Europeo n. 2016/679 (GDPR) in materia di protezione dei dati personali, è in vigore dal 24 maggio 2016 ed è direttamente applicabile in tutti i Paesi UE con decorrenza 25 maggio 2018. L’obiettivo è quello di uniformare a livello comunitario il tema Privacy.
Con un approccio adeguato alle reali esigenze dell’Azienda, la gestione Privacy, secondo il D. Lgs. 196/2003 e il nuovo regolamento europeo 679/2016, oltre a realizzare gli adempimenti di legge previsti, deve rappresentare un’importante opportunità di approfondimento sul tema della Sicurezza delle Informazioni e dei Dati Aziendali.

ESTRATTO REGOLAMENTO

GPDR_COSA FARE

La proposta di TeamLab, comprende:
 la DPIA (valutazione d’impatto privacy), tramite un apposito modello studiato dai nostri consulenti, che permetterà di realizzare con facilità tutti i dovuti successivi aggiornamenti del Sistema, secondo un piano di attività e scadenze predefinito in fase di redazione del modello.
 la realizzazione del MOP (Modello Organizzativo Privacy) con procedure e istruzioni operative .

Lo sviluppo del progetto
Proporzionalmente alla complessità strutturale del Committente, l’attività viene svolta da un team di consulenti di provata esperienza nelle tre aree connesse al progetto del Sistema di Gestione:
 AREA LEGALE (normative, contrattualistica ecc.)
 AREA INFORMATICA (sistemi Hardware-Software, sicurezza informatica ecc.)
 AREA GESTIONALE (aspetti amministrativi, fiscali, organizzativi ecc.)
L’intervento viene svolto prevalentemente presso la struttura del Committente, ma anche tramite criteri di audit (interviste) a distanza in stretta collaborazione con la persona nominata come referente dal Titolare del Trattamento.
Le aree/attività di intervento sono così sintetizzate:
 MISURE GENERALI
 MISURE MINIME/IDONEE DI SICUREZZA

1. MISURE GENERALI
 Illustrazione delle finalità e dei contenuti della legge (D. Lgs. 196/2003 e succ. aggiornamenti)
 CHECK-UP iniziale dell’Azienda rispetto alla normativa vigente
 informazioni tecnico/sistemistiche secondo i requisiti minimi/idonei previsti dalla legge
 Identificazione del tipo di Dati trattati (personali, sensibili, giudiziari), delle banche dati esistenti e delle Finalità dei Trattamenti
 individuazione delle Modalità di Trattamento dei dati (elettronico o cartaceo)
 individuazione del Luogo di Custodia dei dati e degli ambiti di Comunicazione/Diffusione dei Trattamenti (enti statali, istituto di credito, consulenti esterni, ecc.)
 Analisi dei Rischi Incombenti sui trattamenti e delle relative contromisure da adottare
 Nomina degli incaricati e responsabili (RPD) al trattamento dei dati e definizione dei relativi Profili di Autorizzazione
 definizione degli Strumenti Informatici e delle Procedure di Accesso per il trattamento dei dati
 Nomina dei Responsabili Esterni (consulenti amministrativi, legali, informatici, paghe, ecc.)
 predisposizione delle Informative per Clienti, Fornitori, Collaboratori e Dipendenti.

2. MISURE MINIME/IDONEE DI SICUREZZA
 Definizione e stesura del MOP (Modello Organizzativo Privacy) con cui si formalizzano tutti gli aspetti organizzativi necessari
 attivazione delle Garanzie di Riservatezza con sistema di autenticazione e autorizzazione informatica
 verifica del Tipo di Trattamento Consentito ai singoli incaricati (lettura, scrittura, cancellazione, modifica, ecc.)
 verifica o attivazione delle Garanzie di Integrità dei dati (sistema antivirus, anti malware, antispam, anti intrusione ecc.)
 verifica o attivazione delle Garanzie di Disponibilità dei dati (procedure di Backup, Ripristino Dati e Disaster Recovery, ecc.)
 verifica o attivazione delle Misure di Tutela e Garanzia dei dati (dichiarazioni di conformità alle disposizioni del Disciplinare Tecnico da parte di Fornitori e Consulenti Informatici sulle forniture Hardware/Software e sugli interventi precedentemente effettuati)
 definizione delle Misure Minime/Idonee di Sicurezza nel trattamento dei dati Senza Strumenti Elettronici
 pianificazione ed erogazione degli Interventi Formativi previsti per i vari addetti dell’Azienda.

Le sanzioni
Nell’analisi dell’apparato sanzionatorio del GDPR, sono rilevanti le misure previste dall’articolo 83, che arrivano a colpire Titolari e Responsabili con sanzioni amministrative fino a 20 milioni di euro o fino al 4% del fatturato totale annuo. Inoltre, come già previsto dalla legislazione vigente, le autorità di controllo hanno una serie di poteri correttivi previsti dall’articolo 58. Tali poteri prevedono fra gli altri la possibilità di limitare o vietare un trattamento. L’impossibilità di effettuare un trattamento potrebbe comportare, ad esempio, la sospensione dell’erogazione di un servizio verso i clienti, con le conseguenti possibili cause legali da parte di questi ultimi.