GDPR and Data Protection
Regolamento UE 2016/679
Con l’entrata in vigore del Regolamento Generale dell’Unione Europea sulla Protezione dei Dati a partire dal 25 Maggio 2018 esisterà un’unica serie di norme in materia di protezione dei dati per tutte le imprese che operano nell’UE, indipendentemente dalla loro sede.
Il Regolamento (UE) 2016/679 (GDPR) disciplina il trattamento dei dati personali relativi alle persone nell’UE da parte di società, organizzazioni o persone. Andiamo a vedere nello specifico chi è interessato dalle nuove disposizioni.
Il Regolamento NON si applica:
- Al trattamento dei dati personali di persone decedute o persone giuridiche;
- Ai dati trattati da un individuo per motivi strettamente personali o per attività svolte in ambiente domestico, a condizione che non vi sia alcun legame con attività professionali o commerciali.
Se l'azienda interessata è una piccola o media impresa (PMI) che tratta i dati personali come sopra descritto, è necessario assicurarsi di rispettare il Regolamento. Tuttavia, se il trattamento dei dati personali non è una parte essenziale dell'attività e quest’ultima non rappresenta rischi per altri soggetti, alcuni obblighi del GDPR non interesseranno l'azienda.
In generale bisogna considerare che l’applicazione del Regolamento sulla protezione dei dati non dipende dalle dimensioni della azienda o organizzazione, ma dalla natura delle sue attività.
I Compiti del DPO
Perseguendo il nostro obiettivo di partner strategico delle PMI del territorio abbiamo redatto delle informative ad hoc in materia di protezione dei dati.
La DPIA (Data Protection Impact Assessment) è un onere a carico del titolare del trattamento con il quale si assicura trasparenza e protezione nelle operazioni di trattamento dei dati personali. Attraverso la DPIA il titolare effettua l'analisi dei rischi derivanti dai trattamenti posti in essere. Si sottolinea che la valutazione del rischio deve essere fatta per ogni singolo trattamento e che va sviluppata solo per particolari trattamenti, ovvero quando il trattamento prevede l'uso di nuove tecnologie e può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Durante questo processo è necessario che il titolare si consulti con il DPO.
Il DPO (Data Protection Officer) è il responsabile della protezione dei dati, ovvero un professionista esperto in materia di protezione dei dati sensibili con il compito di valutare e organizzare la gestione del trattamento di dati personali all'interno di aziende ed associazioni.
In sintesi il DPO deve:
- Informare e fornire consulenza al titolare, al responsabile del trattamento e ai dipendenti relativamente agli obblighi derivanti dal regolamento;
- Sorvegliare l’osservanza del regolamento nonché delle altre disposizioni europee o di diritto interno in materia di protezione dei dati;
- Sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e attività di controllo;
- Fornire pareri e sorvegliare la redazione della DPIA;
- Essere un punto di contatto e collaborare con l’Autorità Garante per la protezione dei dati personali;
- Controllare che le violazioni dei dati personali (denominate Data Breach) siano documentate, notificate e comunicate (Data Breach Notification Management);
- Gestire inventari ed un registro dei trattamenti e delle attività di trattamento ex art. 30, sebbene a stretto rigore la specifica conservazione del registro della attività di trattamento ex art. 30 del Regolamento Europeo rimanga comunque ad appannaggio del titolare e del responsabile. Peraltro, questi compiti sono già previsti da anni come rientranti nel ruolo di DPO interni alle Istituzioni dell’Unione europea (Regolamento 2001/45/Ce).