GDPR 679/2016
Il regolamento GDPR stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali
Il GDPR (General Data Protection Regulation), entrato in vigore nell’aprile 2016 a seguito della sua pubblicazione nella Gazzetta ufficiale dell’Unione Europea, si applica con decorrenza maggio 2018 ed è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
RINA offre alle organizzazioni servizi differenti, in relazione al contesto aziendale e al settore di appartenenza:
- gap analysis sul GDPR
- certificazione delle figure professionali rispetto alla norma UNI 11697
- formazione
- certificazioni servizi IT secondo le norme ISO 27001, ISO 20000 e ISO 22301.
Focus normativo
Il regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.
Protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
Con “dati personali” si intende qualsiasi informazione riguardante una persona fisica, identificata o identificabile attraverso informazioni quali il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o piu’ elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale GDPR 679/2016, ex art. 4).
Con il GDPR sono stati evidenziati una serie di punti di fondamentale importanza, quali:
- personal data
- trasferimento dei dati all’estero
- data portability
- consent
- privacy impact assessment
- privacy by default e privacy by design
- data protection officer
- data breach notification
- diritto alla cancellazione dei dati “diritto all’oblio”
- sicurezza dei dati personali.
DECRETO LEGISLATIVO 10 agosto 2018, n. 101
Il decreto legislativo 10 agosto 2018, n. 101, in vigore dal 19 settembre 2018, armonizza le regole sulla privacy al Regolamento UE 2016/679, che recepisce le numerose novità in materia di tutela dei dati personali stabilite dal GDPR.
L'obiettivo di tale decreto è armonizzare e abrogare le disposizioni normative italiane (es. gran parte del decreto lgs 196/2003) in contrasto con il GDPR e integrare alcuni aspetti normativi che necessitano di un intervento legislativo nazionale, come previsto dal Regolamento.
Fasi del servizio
I principali passi del GDPR possono essere:
- verificare cosa si e’ fatto e cosa si sta facendo (assessment con analisi cd. “as is”)
- risk assessment e PIA (valutazione d’impatto privacy, mappatura dei processi sensibili, predisposizione di una valutazione del rischio etc.)
- assessment e gap analysis
- Data protection impact assessment and prior consultation
- piano di remediation
- nomine e incarichi dei soggetti coinvolti (es. Titolare, Responsabile del trattamento, Autorizzati, Responsabile della protezione dei dati/DPO se previsto etc.)
- informazione / formazione del personale coinvolto
- aggiornamento periodico del sistema.
Perché scegliere RINA?
Nel tempo abbiamo maturato competenze – sia sul campo sia in tavoli di lavoro - in servizi pertinenti la gestione dei dati personali e dei processi IT. Siamo accreditati per la certificazione del personale su svariate norme, oltre che per la certificazione dei servizi IT quali ISO 27001, ISO 20000, ISO 22301 e conservazione sostitutiva. La capillarità dei nostri uffici è un punto di forza che ci permette di soddisfare le richieste dei clienti in tempi brevi, fornendo un utile supporto con l’aiuto dei team dislocati in tutto il mondo.
FAQ
Il GDPR si applica anche qualora il trattamento dei dati non avviene in territorio UE?
La norma si applica indipendentemente dal fatto che il trattamento sia effettuato o meno in territorio UE: ciò significa che riguarda anche i titolari del trattamento non stabiliti nell’UE, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.
Quali sanzioni sono applicabili a chi non rispetta i requisiti della norma?
il titolare che non dovesse adempiere a quanto stabilito dal GDPR potrà incorrere in possibili sanzioni amministrative (max 20.000.000 € per le imprese, fino al 4 % del fatturato mondiale totale annuo, se superiore), civili e/o penali.
