NUOVO REGOLAMENTO UE 2016/679

Il 24 maggio 2016 è entrato in vigore il nuovo regolamento europeo in materia di protezione dei dati personali nell’ambito dei servizi digitali, nr 2016/679; nello specifico, il regolamento, disciplina il trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati il c.d. “pacchetto protezione dati personali”. Il regolamento sarà obbligatorio a fare data del 25 maggio 2018, le imprese entro la prefata data devono organizzarsi e adeguarsi alle nuove regole. Il testo impone alle imprese l’obbligo prima di procedere al trattamento, il “principio di accountability” (obbligo di rendicontazione) cioè devono dimostrare : – di avere adottato sistemi di sicurezza efficaci a garantire la protezione della rete informatica e quindi eludere eventuali accessi malevoli non consentiti; effettuarne i costante monitoraggio ed aggiornamento; – garantire costantemente, che i trattamenti sono conformi con i principi e le disposizioni del regolamento europeo, compresa l’efficacia delle misure adottate. Il regolamento prevede quindi che l’adesione ai codici di condotta e un meccanismo di certificazione, può essere utilizzato come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento, pertanto la prima azione che eseguiamo è il “penetration Test” per la verifica puntuale dello stato della vulnerabilità della rete e del sistema informatico. A seguito del test, si procede: - con la riprogrammazione degli apparati e/o l’implementazione degli stessi; - la definizione delle Policy di sicurezza,(dove sono dettagliate le mansioni e le autorizzazioni all’accesso ed al trattamento dei documenti contenuti e/o gestiti nella rete, a seconda delle proprie mansioni e responsabilità all’interno della azienda; Il tutto al fine di poter dimostrare la conformità alle disposizioni del regolamento e rispondere all’obbligo del titolare o del responsabile di tenuta di registro elettronico delle attività di trattamento ( quest’ultimo deve contenere una descrizione generale delle misure di sicurezza tecniche e organizzative) effettuate sotto la responsabilità del titolare del trattamento, con relativa descrizione delle misure di sicurezza (art. 30) . Il registro, se richiesto , deve essere messo a disposizione dell’autorità di controllo. Si osservi che il sopra citato adempimento obbligatorio è molto più rigoroso e puntuale rispetto al precedente obbligo di adozione del Documento programmatico per la sicurezza (DPS), adempimento abrogato dal Decreto Monti.(decreto-legge 9 febbraio 2012, n. 5). In riferimento al profilo della sicurezza del trattamento, il regolamento prevede (vedi art. 32) che il titolare del trattamento e il responsabile del trattamento, mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. Il regolamento introduce una nuova figura il “data protection officer” (responsabile della protezione dei dati personali) che le aziende hanno l’obbligo di nominare al proprio interno e deve sempre essere “coinvolto in tutte le questioni riguardanti la protezione dei dati personali”. Se non presente apposita figura all’interno della Sua organizzazione aziendale, la Resolteam si propone come consulente esterno "data protection officer (DPO)” poiché in possesso di specifici requisiti: competenza, esperienza, indipendenza e autonomia di risorse, assenza di conflitti di interesse e può presidiare i profili privacy organizzativi attraverso un’opera di sorveglianza (cyber security center ) sulla corretta applicazione del regolamento europeo, della normativa privacy e sulla normativa interna, sull’attribuzione delle responsabilità, informazione, sensibilizzazione e formazione del personale, informazione, consulenza e rilascio di pareri. La Resolteam o comunque il DPO è tenuto a presidiare i profili privacy, cooperare con l’Autorità Garante e riferisce direttamente al vertice gerarchico del titolare del trattamento. Nell’eseguire i propri compiti il data protection officer considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo. Il testo prevede inoltre un rafforzamento dei poteri delle Autorità Garanti nazionali e un inasprimento delle sanzioni amministrativo a carico di imprese e pubbliche amministrazioni: nel caso di violazioni dei principi e disposizioni del regolamento, le sanzioni, in casi particolari possono arrivare fino a 10 milioni di euro o per le imprese fino al 2%-4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.