Con l’entrata in vigore del nuovo Regolamento europeo in materia di trattamento dei dati personali (GDPR), tutte le aziende italiane sono tenute a uniformarsi alle nuove disposizioni definite dalla Comunità Europea a tutela e salvaguardia dei diritti alla privacy e alla protezione dei dati personali e sensibili.
Il regolamento è entrato in vigore in forma automatica dallo scorso 25 maggio 2018, le disposizioni sono state tuttavia recepite anche con decreto interno pubblicato in Gazzetta Ufficiale nr 205 del 04 settembre 2018 (decreto legislativo numero 101 del 10 agosto 2018), che ha provveduto ad allineare definitivamente la normativa nazionale a quanto previsto dalla normativa comunitaria sul GDPR.
In considerazione delle nuove disposizioni tutte le aziende titolari di trattamenti sono tenute a conoscere e applicare il nuovo GDPR Europeo (UE 2016/679) che prevede di aumentare le misure di protezione dei dati, dandone comunicazione ai proprietari ed eventualmente evidenza al Garante. Le novità introdotte dal regolamento rispetto alla precedente direttiva privacy 95/46/CE, abrogata dalle nuove disposizioni, sono numerose e importanti in termini di impatto e di responsabilità dei diversi soggetti tenuti al rispetto degli obblighi. Il mancato adempimento delle disposizioni contenute nel regolamento GDPR prevede sanzioni significative fino a 20 milioni di euro o il 4% del fatturato aziendale.
In particolare, il nuovo GDPR si fonda sul principio di responsabilizzazione e dovere di rendicontazione (accountability) secondo il quale, il Titolare del Trattamento è tenuto ad adottare “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare che il trattamento è effettuato conformemente al regolamento”. Il concetto delle misure minime di sicurezza precedentemente disciplinate dal D.Lgs. 193/2003 è stato superato dalla maggiore responsabilizzazione del Titolare dei Dati, che ha ora il compito di individuare le misure di sicurezza da adottare e di valutarne l’adeguatezza in considerazione della finalità del trattamento, del rischio per i proprietari e della natura dell’azienda.
È stato inoltre introdotto anche l’obbligo della dpia (data protection impact assessment) che costituisce il principio di valutazione del rischio derivante da una eventuale violazione dei dati rappresentato da perdita, furto, distruzione). Inoltre, tutte le aziende hanno ora l’obbligo di designare un responsabile della protezione dati, cosiddetto data protection officer (DPO), che assume un ruolo fondamentale nei rapporti con gli enti di controllo e con i proprietari dei dati che devono essere adeguatamente e puntualmente informati sui loro diritti, ad esempio il diritto all’oblio ricodificato con misure più chiare e stringenti.
Con l’obiettivo di trasmettere le competenze generali sul nuovo regolamento GDPR, ANFOS propone il corso online sulla privacy allineato sui contenuti del nuovo regolamento e rivolto a creare le competenze di base per meglio comprendere la normativa Italiana attuale e il Regolamento (UE) 2016/679.
