ambiente sicuro - sicurezza sul lavoro - corsi di formazione -rilevazioni ambientali
ambiente sicuro -  sicurezza sul lavoro -  corsi di formazione -rilevazioni ambientali

25  maggio 2018: è entrato in vigore il Regolamento Generale sulla Protezione dei Dati ( GDPR 2016/679 ), la nuova normativa europea sulla privacy ed il 19 settembre 2018 è entrato in vigore il  Decreto Legislativo n. 101 del 10 agosto 2018 che adegua la normativa nazionale al Regolamento UE.

Ma quale è l'impatto sulle aziende  ?

 

L’impatto sulle aziende è più ampio di quanto si possa pensare, perché la GDPR  riguarda le aziende che gestiscono qualsiasi tipo di dato personale come le  informazioni sui propri dipendenti ai dati fiscali dei propri clienti fino  alla profilatura dei clienti per conto terzi.

Quindi sono coinvolte  tutte le aziende che trattatano dati dove per dati  può significare sia  le informazioni in mano alle risorse umane sul proprio organico, dalla data di nascita dei dipendenti fino all'analisi di dati per attività di marketing  mirato su misura del cliente».

Qual'è la differenza fra un'azienda in regola con il GDPR ed un'azienda che non l'ha ancora applicata ?

Innanzitutto la prima è meno soggetta a furti e perdite di dati dove per dati intendiamo anche il database dei propri clienti , la contabilità , il settore paghe e contributi ; si calcola che un'azienda priva di protezioni dati , se colpita da malware , non potrebbe resistere bloccata più di 20 gioni lavorativi senza collassare.

Inoltre la prima è esente da sanzioni da parte del Garante Privacy e meno soggetta a reclami da parte di soggetti che a torto o a ragione giudicano i propri dati mal protetti..

L'azienda che non l'ha ancora applicata è una miniera di dati per i propri concorrenti , è un vero colabrodo per un hacker che in 60 minuti può impadronirsi dei dati aziendali ed un soggetto ambito da sanzionare da parte del Garante della Privacy.

 

 

Quali sono i principali obblighi?
Fra gli obblighi da tenere in considerazione,  ricordiamo  soprattutto una richiesta di consenso in forma chiara, la cosidetta informativa (articolo 7), l’istituzione di un registro delle attività per determinate categorie di dati (articolo 30), la notifica delle violazioni entro 72 ore (articolo 33) e la designazione di un «responsabile protezione dati» (articolo 37) per specifici casi previsti dal GDPR.

Per quanto riguarda il consenso, l’azienda deve chiedere il via libera «in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro (al contrario delle precedenti astruse e fotocopiate informative, ndr)».

Nei casi previsti , i titolari obbligati dovranno  dotarsi di un registro delle attività dove si elencano - tra le altre cose - le finalità dell’elaborazione dei dati, i destinatari, l’eventuale scadenza per la loro cancellazione.

In caso di data breach, la violazione dei propri dati, scattano obblighi di notifica alle autorità molto più stringenti: il titolare deve comunicare l’accaduto «entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche».

Infine si va a istitituzionalizzare su scala Ue per specifiche categorie di aziende la figura del data protection officer, assunto tra i dipendenti dell’azienda o presso una società esterna con il ruolo di vigilare sull’applicazione effettiva della Gdpr da parte del suo titolare.

 

 

Sono ancora validi i consensi raccolti prima dell'entrata in vigore del GDPR.?

l consensi raccolti precedentemente al 25 maggio 2018 restano validi solamente se hanno tutte le caratteristiche previste dal nuovo Regolamento 2016/679

Quindi  è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica.

In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2), per esempio all’interno di modulistica. La formula utilizzata per chiedere il consenso deve essere comprensibile, semplice, chiara (art. 7.2).

 

Come vanno richiesti i dati sensibili

 

Per i dati “sensibili” (si veda art. 9 regolamento) il titolare (art. 7.1) deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento con modalità “esplicita” . Non è obbligatoria la “forma scritta” ma solo suggerita come modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito”.

Non  è ammesso il consenso tacito o presunto , per esempio il consenso ottenuto  con  caselle pre-spuntate su un modulo. 

Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

 

 

 

<

E se si viola il regolamento?
Se si viola il regolamento, scattano delle sanzioni. Salate. A seconda della gravità dell’infrazione, le multe sono divise in due scaglioni: fino a un massimo di 10 milioni di euro o, per le imprese, il 2% del fatturato (se superiore); oppure fino a un massimo di 20 milioni o il 4% del fatturato , sempre per le aziende e sempre in rapporto al giro d’affari. Per farsi un’idea, il Garante alla privacy è riuscito a incassare nel 2015 poco più di 3,3 milioni di sanzioni.
La multa più “leggera” (10 milioni o 2% turnover) viene inflitta per la trasgressione di principi come la mancata protezione dei dati fin dalla progettazione o la carenza di misure adatte a garantire un buon standard di sicurezza.

Quella più pesante (20 milioni o 4% del turnover) arriva in caso di violazione dei principi fondamentali, come la negazione del diritto all’oblio o l’opacità nella richiesta di consenso dei dati.

Non è previsto un periodo di “tolleranza” di sei mesi?
Il periodo di 6 mesi di tolleranza è scaduto il 15 novembre . Ma l’impresa avrebbe dovuto  comunque mostrare di avere avviato un piano di adeguamento ed essere consapevole delle priorità per rientrare nel perimetro del regolamento.

Formazione delle Persone autorizzate al trattamento dei dati  :

Il titolare del trattamento dovrà designare ed indicare  i nominativi delle  persone autorizzate all'interno della azienda /ente /associazione al trattamento dei dati ottenuti con il consenso obbligatorio  dell'interessato .

 

Il titolare deve garantire  che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; a questo scopo effettuare una formazione adeguata delle stesse .

 

Avete domande sulla privacy ? dubbi ? potete richiedere chiarimenti alla pagina dei CONTATTI : formazione@sicurezzamarano.it

Stampa Stampa | Mappa del sito
© STUDIO SICUREZZA AMBIENTALE Dr. Marano - sede Via F. Testi 287 20162 MILANO Partita IVA 08675700150

E-mail

Come arrivare