Adeguamento Privacy

IL NOSTRO SERVIZIO

La Omnia Consulenza S.r.l. è in grado di supportare le aziende che intendono adeguarsi alle normative sulla protezione dei dati personali ai sensi del Regolamento UE 2016/679 – General Data Protection Regulation (GDPR) e dotarsi di un sistema documentale per l’adeguamento alla norma.

QUANDO E’ RICHIESTO

Sono tenute al rispetto della normativa sulla privacy tutte le azienda, i professionisti, le associazioni e le pubbliche amministrazioni in funzione del tipo di trattamento dei dati personali da loro effettuato.

ADEGUAMENTO AL GDPR

La responsabilità che venga predisposti tutti i documenti per adeguarsi al GDPR è in capo al legale rappresentante dell’azienda.
Di seguito sono riportati i documenti e le registrazioni obbligatorie richieste dal Regolamento UE 2016/679 (GDPR):
a) Politica sulla Protezione dei dati personali (art. 24, Reg. UE 2016/679);
b) Informativa sulla Privacy (artt. 12, 13 e 14, Reg. UE 2016/679): comunica le modalità di trattamento dei dati personali dei tuoi clienti, visitatori del sito web e altri;
c) Informativa sulla Privacy per i Dipendenti (artt. 12, 13 e 14, Reg. UE 2016/679): comunica le modalità di trattamento dei dati personali dei dipendenti;
d) Politica di conservazione dei dati (artt. 5, 13, 17 e 30, Reg. UE 2016/679): definisce le modalità e per quanto tempo un particolare tipo di dati personali sarà conservato e come sarà distrutto in modo sicuro;
e) Programma di conservazione dei dati (artt. 30, Reg. UE 2016/679): elenca tutti i dati personali attribuendo a ciascuno per quanto tempo sarà conservato;
f) Modulo di consenso dell’interessato (artt. 6, 7 e 9, Reg. UE 2016/679): dichiarazione per ottenere il consenso da parte di un interessato a trattare i propri dati personali;
g) Modulo di consenso del titolare della responsabilità genitoriale (art. 8, Reg. UE 2016/679): dichiarazione per ottenere il consenso da parte del genitore a trattare i dati personali del figlio nel caso questo abbia meno di 16 anni;
h) Registro della valutazione dei rischi sulla protezione dei dati (art. 35, Reg. UE 2016/679): nel registro vengono valutati i rischi sulla protezione dei dati ed il loro trattamento;
i) Accordo con il fornitore del trattamento dei dati (artt. 28, 32 e 82, Reg. UE 2016/679): documento necessario per regolare la protezione dei dati con un fornitore;
j) Procedura di risposta e comunicazione di una violazione dei dati (artt. 4, 33 e 34, Reg. UE 2016/679): descrive cosa fare prima, durante e dopo una violazione dei dati;
k) Registro delle Violazioni dei dati (art. 33, Reg. UE 2016/679): registro per annotare tutte le violazioni dei dati;
l) Modulo di Comunicazione di una Violazione dell’Autorità di Controllo (art. 33, Reg. UE 2016/679): in caso di violazione dei dati, è necessario informare in modo formale l’Autorità di Controllo;
m) Modulo di comunicazione di violazione agli interessati (art. 34, Reg. UE 2016/679): modulo per informare gli interessati in modo formale in caso di violazione dei dati.

VANTAGGI

Adeguarsi alle normative di protezione dei dati personali e dotarsi di un sistema documentale per l’adeguamento al GDPR ha i seguenti vantaggi:
– miglioramento della riservatezza aziendale;
– miglioramento immagine aziendale;
– riduzione delle sanzioni per inadempienze sulla protezione dei dati personali;
– evitare cause legali;
– ridurre il tempo speso per gestire le verifiche da parte degli organi di controllo;
– evitare la sospensione dell’attività imprenditoriale.

SCADENZE DI LEGGE

Il GDPR è in vigore dal 24 maggio 2016 e la sua applicazione è obbligatoria dal 25 maggio 2018.

FORMAZIONE OBBLIGATORIA

Una volta predisposto un organigramma aziendale ed individuati gli incarichi in materia di privacy si deve procedere con la formazione delle varie figure.
Le figure della privacy sono le seguenti:
– Titolare del trattamento dei dati: è la persona fisica o giuridica alla quale competono le decisioni in materia di trattamento dei dati. Solitamente si tratta del rappresentante legale dell’organizzazione;
– Data Protection Officer (DPO): anche detto Responsabile della protezione dei dati, è sempre obbligatorio nella Pubblica Amministrazione ed in alcuni casi anche nelle aziende private (ad esempio con più di 250 dipendenti), all’interno dell’organizzazione è la persona incaricata di predisporre e monitorare il rispetto della Regolamento UE sulla privacy;
– Incaricato: è la persona fisica autorizzata ad operare specifici trattamenti di dati compatibili con le sue mansioni.
Le figure sopra riportate hanno tutte necessità di formazione.
Inoltre, è necessario formare dipendenti e collaboratori sul tema protezione dati personali, trattando in particolare i seguenti argomenti:
– Principi del Regolamento 2016/679;
– Attori del trattamento dati personali;
– Nomine delle figure in relazione alla struttura organizzativa;
– Approccio basato sul rischio del trattamento;
– Rispetto delle procedure e delle misure di sicurezza adottate;
– Documenti del GDPR.

SANZIONI

In caso di mancata applicazione delle norme del GDPR, per le violazioni cosiddette di minore gravità, sono previste le sanzioni amministrative pecuniarie di importi fino a 10 milioni di euro o, per le imprese (da intendersi come gruppo), fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (art. 83, par. 4, Regolamento 2016/679).
Il secondo gruppo di sanzioni, più pesanti riguardanti violazioni di maggiore gravità, ammontano fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, e riguardano nello specifico le seguenti violazioni:
n) dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli artt. 5, 6, 7 e 9 del Reg. UE 2016/679;
o) dei diritti degli interessati a norma degli artt. da 12 a 22 del Reg. UE 2016/679;
p) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli art. da 44 a 49 del Reg. UE 2016/679;
q) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX del Reg. UE 2016/679;
r) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (ovvero il Garante Privacy) ai sensi dell’art. 58, par. 2, o il negato accesso in violazione dell’art. 58, par. 1, Reg. UE 2016/679.
In caso di mancata erogazione della formazione si applica le sanzioni previste per le violazioni di minor entità.

RIFERIMENTI NORMATIVI

– Regolamento UE 2016/679 del 27 aprile 2016 – General Data Protection Regulation (GDPR).

Torna a :  Privacy