GDPR, privacy e protezione dei dati aziendali

Il nuovo Regolamento Generale sulla Protezione dei Dati, (n. 2016/679, detto anche GDPR o RGPD) è entrato in vigore il 24 maggio 2016 e diverrà l'unica fonte normativa direttamente applicabile nei paesi membri dell'Unione Europea a partire dal 25 maggio 2018.

In Italia, il GDPR manderà definitivamente “in pensione” il vecchio codice sulla Privacy (D.lgs 196/2003), garantendo una disciplina uniforme in tutta l’Unione Europea, in materia di trattamento dei dati personali. Tra le novità introdotte, nuovi diritti per cittadini, clienti, consumatori; il GDPR prevede nuove modalità per l’espressione del consenso, nuovi obblighi in materia di sicurezza informatica e notevoli sanzioni per le aziende che non si adegueranno.

L'imminente applicabilità del Regolamento non deve però essere considerato solo un obbligo: può rappresentare per le aziende un'importante occasione per affrontare in modo completo e strutturato la gestione della privacy e della sicurezza (informatica e non) dei dati raccolti. “Data protection by design” è infatti il concetto che richiede in azienda l’adozione, sin dalla fase progettuale, di misure idonee per la protezione e la sicurezza dei dati altrui.


Ecco alcune domande e risposte che possono aiutarVi a stabilire se, quando e come assolvere ai nuovi obblighi.

Quale aziende sono soggette al nuovo Regolamento GDPR?

Il Regolamento si applica a qualsiasi trattamento di dati personali, elettronico o cartaceo, contenuti in un archivio, appartenenti ad interessati che si trovano nell’Unione Europea. Il dato personale è inteso come “qualsiasi informazione riguardanti una persona fisica identificata o identificabile”.
E’ chiaro come lo spettro di applicazione sia ampio: qualunque azienda tratta dati personali di persone fisiche, ad esempio clienti o dipendenti; vi è poi tutta la categoria di trattamenti legati al sito web o alla posta elettronica, alle comunicazioni commerciali, alle telefonate per promuovere un prodotto; infine, impianti di videosorveglianza e dati personali ricevuti da altre aziende, che vengono processati internamente. Non è azzardato dire quindi che tutte le aziende devono conoscere il nuovo regolamento e modificare la propria organizzazione avendo bene in mente i nuovi diritti degli interessati e la sicurezza dei loro dati.

La mia azienda è obbligata a tenere i registri del trattamento previsti dall’articolo 30?

Sì, se la mia azienda ha più di 250 dipendenti, ma anche:
sì, se i trattamenti effettuati possono presentare rischi per i diritti e libertà dell’interessato;
sì, se il trattamento dei dati non è occasionale;
sì, se il trattamento include categorie particolari di dati (dati sensibili, art.9) che rivelino origine razziale o etnica, opinioni politiche, convinzioni
religiose, appartenenza sindacale o dati che genetici, biometrici, relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona.

La mia organizzazione è obbligata alla nomina di un Responsabile della Protezione Dati (DPO)?

Il responsabile della Protezione dei Dati (o DPO, Data Protection Officer) è una figura prevista dal GPDR per coadiuvare il Titolare nell’affrontare le novità del Trattamento dei dati. Il DPO conosce la materia ed è dotato di qualità organizzative e professionali tali da facilitare i nuovi processi, in base al principio della Privacy By Design. La nomina di un DPO è obbligatoria nei seguenti casi: autorità pubblica o organismo pubblico; quando l’attività principale è il monitoraggio regolare e sistematico degli interessati su larga scala; oppure quando vengono trattati, sempre su larga scala, dati sensibili o penali. La nomina può essere effettuata anche a livello di gruppo o in forma associata. In generale la nomina di un DPO è comunque consigliata quando il titolare del trattamento non possieda le adeguate conoscenze normative e tecniche per affrontare i cambiamenti introdotti dal GDPR.

Quali sono le sanzioni ?

Le sanzioni vengono erogate dall’Autorità di controllo in base alla gravità, al carattere doloso, alle categorie di dati trattati non correttamente e ad altri criteri stabiliti dall’articolo 83 del GDPR: “la violazione delle disposizioni è soggetta a sanzioni amministrative pecuniarie fino a 10 milioni di euro, o per le imprese, fino al 2% del fatturato totale annuo, se superiore (ai 10 milioni)”. Anche se questi importi non saranno applicati alle piccole-medie imprese, certo è che la nuova normativa prende molto sul serio le violazioni, specialmente quelle commesse con grave colpa, ovvero quando i dati vengono trattati illecitamente, senza consenso, ceduti a terzi per scopi commerciali o conservati senza misure minime di sicurezza. Più in generale, il legislatore vuol colpire i soggetti che ignorano volutamente i nuovi diritti dei cittadini dell’UE e le aziende che continuano a trattare grandi quantità di dati senza idonee precauzioni e senza informare correttamente i legittimi interessati.


I nostri servizi per il GDPR

Grazie all’adeguata grazie alle competenze tecniche sviluppate, all'adeguata conoscenza della normativa e all’esperienza maturata nel campo della cybersecurity, possiamo affiancare la vostra azienda nel percorso verso l’assolvimento dei nuovi obblighi, in tempi brevi e a costi ridotti. Abbiamo ideato e offriamo i seguenti servizi:

Corso di formazione “GDPR awareness”

Il corso di formazione riservato al personale dipendente e a chi si occupa del trattamento dei dati. Il corso, di 4 ore, viene svolto presso la sede del Cliente e illustra le principali novità, i nuovi modi di ottenimento del consenso e il rispetto per le misure minime di sicurezza. E’ previsto un test finale di verifica delle conoscenze acquisite e il rilascio di un attestato nominativo. Il corso ha un costo fisso di 190 euro + iva

Il software “GDPR FACILE” by Next

E’ il software da noi ideato per la gestione del registro dei trattamenti previsto dall’articolo 30 del GDPR. Di facile utilizzo, dotato di un doppio livello di sicurezza e accessibile via web, consente di descrivere tutti i trattamenti svolti, le figure coinvolte, le risorse gestite, con specifiche funzioni per le scadenze e la stampa. Il costo, a partire da 149 euro l’anno + iva (119 euro dal secondo anno), si basa su livelli crescenti di complessità dell’organizzazione aziendale e dei dati trattati.

Assistenza tecnica alla compilazione

Il GDPR è ancora troppo complesso per la vostra realtà aziendale ? Oltre ad offrire la formazione e il software giusto, forniamo anche un servizio di assistenza tecnica alla compilazione e all’inserimento dei dati, per facilitarVi al massimo l’assolvimento dei nuovi obblighi. Il servizio è fornito a pacchetti da 4 ore e comprende una visita in azienda e il monitoraggio delle risorse informatiche utilizzate e del loro livello di sicurezza.

Consulenza nel ruolo di Data Protection Officer (DPO)

Alcune tipologie di organizzazioni (es. Enti Pubblici) o le aziende che trattano dati “sensibili” devono obbligatoriamente nominare un Responsabile della Protezione dei Dati (RPD o DPO, Data Protection Officer), figura professionale dotata di capacità informatiche e organizzative e specifiche competenze in materia di GDPR. Il DPO affianca il Titolare del trattamento in tutte le decisioni relative al trattamento e alla sicurezza dei dati, forma il personale e in generale facilita l’assolvimento dei nuovi obblighi.

Grazie all’elevato livello di competenze acquisite (Master in Cybersecurity e certificazioni a livello europeo) e all’esperienza ventennale in tema di sicurezza dei dati e nella prevenzione dei crimini informatici, siamo il partner ideale per ricoprire il ruolo di Data Protection Officer (DPO). Possiamo occuparci di:

  • Rilevare e correggere le misure minime di sicurezza e progettare un sistema informatico su criteri “privacy by design”.
  • Sorvegliare l'osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell'ambito di applicazione, del contesto e delle finalità.
  • Collaborare con il titolare/responsabile nel condurre una valutazione di impatto sulla protezione dei dati.
  • Informare, sensibilizzare, formare, dirigenza e personale ai nuovi obblighi del GDPR

Scopri il nostro software per la gestione degli adempimenti GDPR

Richiedi un preventivo

Esponi il tuo problema di sicurezza e verrai ricontattato per una diagnosi gratuita del livello di sicurezza della tua azienda.

Darkbox è un marchio di Next Duepuntozero S.r.l. ©2018 Tutti i diritti sono riservati | P.Iva e C.F. 02088860511Privacy & Cookie law

Developed by:  Next 2.0 Above The Line