Dal 25 maggio 2018 per numerosi soggetti pubblici e privati diventerà obbligatorio conformarsi alle norme del Regolamento UE n. 679/2016 e necessario dotarsi di un Responsabile del trattamento dei dati (DPO).
Il Regolamento UE (General Data Protection Regulation) andrà a sostituire i Codici Privacy dei singoli Stati membri ma dalle indagini compiute in proposito molti soggetti non hanno ancora compreso la portata di tale adeguamento e dunque i processi di compliance risultano lenti e talvolta percepiti come meri aggravamenti burocratici.
Il nuovo Regolamento Privacy impone obblighi stringenti e costituisce un importante baluardo nel sistema delle responsabilità e nell'implementazione delle misure di sicurezza a protezione dei dati personali.
Il testo riconosce importanti ed ampi diritti ai cittadini mentre impone alle imprese e alle P.A. una forte responsabilizzazione (accountability).
L'articolo 25, in particolare, introduce il principio di privacy by design e privacy by default, un approccio innovativo che impone alle P.A. e alle aziende l'obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti a tutela dei dati personali.
Il concetto di privacy by design risale al 2010 e, già presente negli Usa e Canada, fu poi adottato nel corso della trentaduesima Conferenza mondiale dei Garanti Privacy.
Il GDPR ha l'obiettivo di tutelare la vita privata dei cittadini di default, ovvero come impostazione predefinita dell’organizzazione aziendale e stabilisce che la protezione dei dati deve avvenire fin dal disegno o progettazione di un processo aziendale, ossia by design.
Prima di procedere al trattamento, dunque, è necessario effettuare una c.d. valutazione dell'impatto, con puntuale e documentata analisi dei rischi per i diritti e le libertà degli interessati.
I soggetti titolari del trattamento, infatti, devono dimostrare di aver adottato tutte le misure di sicurezza adeguate ed efficaci ed in proposito l'adesione ad un codice di condotta (art. 40) o di un meccanismo di certificazione (art. 42) può essere utilizzata come strumento per dimostrare il rispetto degli obblighi del titolare del trattamento.
Il Regolamento n. 679 introduce la figura del Responsabile del Trattamento dei Dati (detto DPO), un soggetto in possesso di specifici requisiti: competenza, esperienza, indipendenza, autonomia di risorse che deve presidiare i profili privacy attraverso la verifica della corretta applicazione del Regolamento, formazione del personale, sensibilizzazione, consulenza etc.
Il DPO può essere interno o esterno e dialoga direttamente con il vertice gerarchico del titolare del trattamento.
Ma a meno di un anno dalla piena applicabilità della normativa è necessario che le imprese si attivino per mettere a punto un piano d’azione e soprattutto di adeguamento del “sistema privacy” aziendale.
Nessun commento:
Posta un commento