Magazine Online Logistica e Supply Chain
Iscriviti alla newsletter di Logistica Efficiente
14 Mag2019

Il GDPR, il nuovo Regolamento Europeo 2016/967 ad un anno dall’entrata in vigore

Punti importanti ed essenziali

Il 25 maggio scorso è diventato applicabile il Regolamento Europeo 2016/679, la nuova norma europea sulla protezione dei dati personali.

Perché una nuova normativa? In pratica è stato utilizzato lo strumento del regolamento, vale a dire una delle fonti del diritto comunitario in virtù della sua caratteristica di atto di portata generale, direttamente applicabile in tutto il territorio comunitario, assicurando una disciplina uniforme per tutti gli stati membri. Una bella semplificazione da un certo punto di vista. Ma di fatto c’è molto di più.

Chi dovrà applicare il nuovo Regolamento? Tutte le persone fisiche e giuridiche, la pubblica autorità, i servizi o qualsiasi organismo che attraverso le attività di trattamento dati dalla raccolta alla consultazione per arrivare alla cancellazione e/o distruzione, utilizzano dati sensibili. Rimangono fuori dal regolamento tutti coloro che utilizzano i dati per uso strettamente personale o domestico.

Attenzione però: in questo campo oltre alle organizzazioni che operano in campo comunitario devono attenersi anche le realtà stabilite al di fuori dell’Unione Europea, ma che trattano dati personali di cittadini o aziende facenti parte dell’Unione. Non si potranno perciò più applicare come riferimento le leggi nazionali quando il trattamento dei dati personali di cittadini UE viene effettuato da aziende con sede al di fuori dell’UE.

La novità più rilevante sta nel principio della responsabilizzazione e nella valutazione dei rischi: infatti il Regolamento stabilisce che ogni organizzazione deve adottare comportamenti proattivi per tutelare i dati personali di cui è possessore e deve essere in grado di dimostrare in qualsiasi momento che le misure adottate per proteggere questi dati risultino adeguate all’applicazione del Regolamento (vedi parte relativa all’accountability nel Regolamento 2016/679).

E’ evidente l’importanza e la centralità del responsabile del trattamento dei dati personali che deve identificare e decidere in tutta autonomia le garanzie e i limiti del trattamento dei dati stessi, e nel pieno rispetto della normativa deve specificare i criteri e le azioni da utilizzare per rispettare e rendere valido tale trattamento.

Tra i criteri da rispettare bisogna fare riferimento alla necessità di redigere un progetto strutturato per la valutazione dei rischi tenendo bene in considerazione gli eventuali impatti negativi sulle libertà e sui diritti degli interessati.

Si evince perciò che deve essere effettuata una valutazione degli impatti negativi, deve esistere un piano per la mitigazione degli stessi ed è necessario prevedere un piano di contatto con l’Autorità di controllo nel caso la gestione dei rischi residui non risultasse efficace. Tutto queste valutazioni devono essere registrate e svolte in fase preventiva (la tracciabilità delle operazioni è un requisito fondamentale).

Per quanto riguarda le azioni sulle quali porre l’accento, il Regolamento è molto chiaro e suggerisce, tra le principali:

  • utilizzo degli pseudonimi e della cifratura dei dati,
  • l’adozione di soluzioni provate ed efficaci che garantiscano la riservatezza,
  • l’integrità dei sistemi e dei servizi utilizzati per il trattamento dei dati,
  • segnalare le misure di sicurezza da mettere in atto,
  • la capacità di ripristinare la disponibilità dei dati in caso di incidente tecnico,
  • ed ultimo, ma non meno importante, l’adozione di procedure per testare, verificare e valutare l’efficacia delle misure tecniche ed organizzative.

Fatto questo si passa alle azioni vere e proprie, cioè notifica entro 72 ore delle violazioni, o tentativi di violazione all’Autorità Garante (le 72 ore partono dal momento in cui si viene a conoscenza della violazione). Ovviamente, con quanto espresso in precedenza tutte le azioni di prevenzione ed implementazione devono rimanere tracciate. Non solo, la completezza del Regolamento stabilisce anche quali sono le informazioni da comunicare da parte del titolare del trattamento all’interessato, i casi in cui sarà possibile evitare tale comunicazione, e quelli dove la comunicazione dovrà invece essere estesa anche alle parti interessate proprietarie dei dati sensibili.

Seguono quindi l’introduzione di nuovi diritti per gli interessati, nuove indicazioni riguardanti il consenso in termini di tempi, caratteristiche e modalità di richieste, la possibilità di adottare codici di condotta che contribuiscano alla corretta applicazione del Regolamento, la possibilità di adottare meccanismi di certificazione delle procedure e del modello sopra descritti, vedi ISO 27001.

Per concludere i requisiti necessari per conformarsi al nuovo regolamento sono i seguenti:

  • Conoscere i trattamenti effettuati;
  • Valutazione dei rischi associati ai trattamenti;
  • Implementazione delle misure adeguate all’organizzazione;
  • Predisposizione di informative semplici e complete per gli utenti;
  • Implementazione procedure per la gestione del consenso;
  • Formazione adeguata del personale;
  • Nomina dei Responsabili del trattamento;
  • Implementazione di un sistema di monitoraggio e controllo

Tutto ciò è mirato alla costruzione di un vero e proprio sistema di gestione, non più un sistema basato solo sull’acquisto di un software in grado di gestire più o meno tutti i punti del Regolamento, quindi non è più possibile acquistare una semplice “scatola vuota”, ma la conoscenza e la formalizzazione sono due elementi imprescindibili.

Anche le sanzioni sono state ridefinite e sono uguali per tutte le parti interessate negli stati membri, a seconda della tipologia della violazione e delle figure implicate la sanzione può arrivare a € 20.000.000 per le imprese o se superiore, al 4% del fatturato dell’esercizio precedente, rischiando di conseguenza la sopravvivenza aziendale/professionale.

Altri articoli in questa categoria

Bonus pubblicità, come presentare le domande
Bonus pubblicità, come presentare le domande
HR Stories | Terzo episodio
HR Stories | Terzo episodio
HR Stories | Nono episodio
HR Stories | Nono episodio
Supportare le imprese italiane tramite le Scienze e Tecnologie Matematiche per l’Innovazione
Supportare le imprese italiane tramite le Scienze e Tecnologie Matematiche per l’Innovazione
2020, quali prospettive di lavoro per i giovani?
2020, quali prospettive di lavoro per i giovani?
Il successo dei Fenici, logistica e rete commerciale
Il successo dei Fenici, logistica e rete commerciale
Logistica e magazzini nell'Antico Egitto: un viaggio nel Regno di Ramesse III
Logistica e magazzini nell'Antico Egitto: un viaggio nel Regno di Ramesse III
Non puoi più fare a meno di un Software Risorse Umane
Non puoi più fare a meno di un Software Risorse Umane
I dieci comandamenti per una presentazione perfetta
I dieci comandamenti per una presentazione perfetta
PROCOUT
SACMA
abb-logo
bito-logo
compass360-logo
cubar-logo
dematic-logo
ferrettospa-logo
finlogic-logo
imilani-logo
imilog-logo
incas-logo
jungheinrich-logo
kardex-logo
lcs-logo
logo-simcoconsulting
netlog-logo
ptv-logo
sedapta-logo
systemlogistics-logo
toyota-logo

I nostri sponsor

LogisticaEfficiente.it è un marchio di MLC Consulting Srl - Via Stilicone 12 - 20154 Milano - Tel. +39 02.3322.0352 - Fax +39 02.7396.0156 - P.IVA 04914830965
Credits