Post più popolari

domenica 18 febbraio 2018

Imprese e professionisti. In arrivo il nuovo Regolamento (UE) 2016/679 Privacy

Il GDPR, General Data Protection Regulation,  che sostituisce in parte il Codice della Privacy D. Lgs. 196/2003, prevede che le imprese e i professionisti siano in regola entro il 25 maggio 2018 con le disposizioni che introducono importanti novità per tutti i titolari del trattamento, persone giuridiche o fisiche, che per motivi connessi alle rispettive attività con o senza fini di lucro devono trattare i dati personali identificativi e i dati sensibili,  es. in ambito sanitario, e i dati giudiziari.
Il nuovo regolamento, direttamente applicabile negli Stati europei, precisa che sono destinate a rimanere in vigore tutte le norme nazionali non espressamente in contraddizione con il GDPR, tuttavia ancora si attende da parte del Governo, già delegato dal Parlamento, un provvedimento che in tempi brevi allinei il nostro Codice della Privacy alle disposizioni europee che entreranno in vigore tra circa tre mesi.





Le principali novità del Regolamento UE 2016/679 in sintesi:

- il principio di accountability per cui è responsabilità dei titolari dei dati di clienti, dipendenti, fornitori, ecc. conformarsi alle nuove prescrizioni e dimostrare in caso di controlli di aver adottato modelli e informative aggiornate, politiche e misure di sicurezza adeguate per proteggere i dati;
 the “Data Protection Impact Assessment” obbligo di valutazione dell’impatto privacy in caso di rischi elevati nel trattamento dei dati, ad es. profilazione, dati biometrici, dati riferiti a minori, ecc.;
- il titolare del trattamento deve pretendere dai fornitori l’uso di software conformi quanto al trattamento dei dati personali alle prescrizioni del nuovo Regolamento UE;
- i titolari del trattamento dovranno essere in grado di riconoscere e permettere concretamente l'esercizio agli interessati di: "the right to be forgotten", il diritto all’oblio per le persone i cui dati dovranno essere cancellati automaticamente e "the right to data portability" il diritto alla portabilità dei dati;
- l’obbligo di comunicare alla clientela e alla DPA nazionale le violazioni alla sicurezza, data breaches,che comportano la divulgazione non autorizzata, l’accesso ai dati personali trattati, la perdita, ecc.
- il concetto di “privacy by design” con eventuale “data masking” e “privacy by default”;
- nomina di un Data Protection Officer per chi deve svolgere il trattamento dei dati su larga scala.

Il nuovo Regolamento introduce un sistema di sanzioni per i soggetti che trattano i dati personali applicate attraverso il sistema della Legge 689/81 a seguito dei controlli del Garante privacy  che in forma graduale potranno arrivare a 20 milioni di euro oppure al 4% del fatturato totale annuo dell’esercizio precedente ed è prevista anche la possibilità di limitare o addirittura vietare un trattamento dei dati creando seri problemi alla prosecuzione dell’attività.
Le sanzioni comminate alle società titolari del trattamento dei dati responsabili di violazioni ai danni dei cittadini interessati potranno avere evidenti implicazioni nei rapporti tra i soci e gli amministratori quanto all’azione di responsabilità oltre che per l’immagine societaria.

L'aspetto più dirompente delle nuove norme sulla privacy riguarda le aziende, che potranno rispondere anche ai sensi del D.Lgs. 231/2001 “responsabilità degli enti” se non adottano misure per prevenire i reati da illecito trattamento dei dati personali aggiornando per tempo i modelli organizzativi rilevanti ai fini della verifica giudiziaria come elementi di fatto scriminanti.

In vista della prossima scadenza lo Studio Legale De Valeri – De Grazia, operativo nel settore privacy da oltre vent’anni, ha ideato “G.D.P.R. Legal Check-up Advice” un servizio professionale mirato che prevede, con la collaborazione del titolare del trattamento, un primo esame delle problematiche “privacy” per poi ricevere un’ analisi preventiva per l’adeguamento al nuovo Regolamento UE attraverso un software messo a punto dall’avv. De Grazia che analizza la compliance aziendale in relazione alle prescrizioni del GDPR, il D.Lgs n.231/2001 e la normativa ICT Law italiana valutandola con una connessione incrociata con le normative ISO 27001:2016 e ISO 29151:2017.

Ricordo che la recente introduzione della normativa sul c.d. “whistleblowing”,  la legge 179/2017, i nuovi reati di xenofobia e razzismo, “procurato ingresso illecito di stranieri e favoreggiamento dell’immigrazione clandestina”, “favoreggiamento della permanenza illecita di stranieri nel territorio dello Stato” richiedono l’aggiornamento dei modelli organizzativi.

Info diritto societario e privacy
studiolegaledevaleri@hotmail.com

Nessun commento: