Siete pronti per il nuovo regolamento privacy?
Il 25 maggio 2018 entrerà in vigore il nuovo Regolamento UE sulla privacy (n. 679/16). Manca oltre un anno, è vero, ma gli adempimenti necessari alle aziende per adeguarsi richiederanno del tempo e rendono perciò estremamente raccomandabile muoversi ora: arrivare preparati alla data prevista sarà fondamentale per evitare sanzioni che arrivano a 20 milioni di euro o al 4% del fatturato globale annuo.
Di seguito trovate un elenco degli adempimenti più importanti che le aziende dovranno porre in essere entro il 25 maggio 2018.
Il Regolamento richiede all’azienda di documentare i trattamenti posti in essere e le misure prese per tutelare la privacy, da verificare e aggiornare su base periodica. Dovrà quindi innanzitutto essere effettuato un audit in cui controllare la documentazione in essere: policy interne, nomine di responsabili e incaricati del trattamento, nomine degli amministratori di sistema, informative a dipendenti e a terzi etc. Tale documentazione dovrà poi essere modificata e integrata secondo quanto richiesto dal Regolamento, che impone l’adozione di documenti ulteriori rispetto a quelli richiesti dalla normativa vigente.
Le aziende dovranno dotarsi degli strumenti giuridici e tecnici necessari per assicurare il rispetto dei principi del “privacy by design” e “privacy by default” posti dal Regolamento.
Dovrà essere organizzato un sistema per la comunicazione di eventuali violazioni dei dati personali, entro 72 ore dal loro verificarsi, al Garante Privacy e agli interessati.
Nei casi di trattamenti che pongono rischi elevati per i diritti e le libertà degli interessati, le aziende dovranno preliminarmente redigere una “valutazione di impatto” di tali trattamenti (Data Protection Impact Assessment, DPIA).
Qualora l’azienda tratti categorie particolari di dati personali su larga scala, o effettui un monitoraggio regolare e sistematico degli interessati su larga scala, essa dovrà munirsi di un responsabile per la protezione dei dati personali (Data Protection Officer, DPO) con competenze sia giuridiche che tecniche; tale incarico potrà essere affidato anche a un soggetto esterno, es. uno studio legale specializzato in materia e che abbia al proprio interno anche le necessarie competenze tecniche.
Il nostro studio ha ampia esperienza in materia di privacy, occupandosene da anni per conto di aziende italiane e straniere, inclusi colossi multinazionali dell’IT. Se volete discutere quanto sopra, scrivete a info@martinimanna.com.