PRIVACY – Nuovo regolamento Gdpr: scaduto il “periodo di rispetto”. Ora verifiche meno tolleranti e sanzioni. La tua imprese è in regola?
AlimentazioneAmbienteANAP PensionatiArtigianato Artistico...Privacy: tempo scaduto! Dall’entrata in vigore del Regolamento Generale sulla Protezione dei Dati dell’Unione Europea (Gdpr) è trascorso quasi un anno, mentre sono passati otto mesi dall’entrata in vigore del decreto che ha introdotto il cosiddetto “periodo di rispetto”, che dal 19 maggio è arrivato a scadenza. D’ora in poi, le verifiche da parte del Garante della Privacy, con la collaborazione del Nucleo Speciale Privacy della Guardia di Finanza, saranno meno “comprensive” e le sanzioni più puntuali.
LE VERIFICHE PROGRAMMATE NEL 2019
Il piano ispettivo del Garante, in questi primi mesi del 2019, si è concentrato sul settore sanità, sui trattamenti effettuati dall’Istat e altri sistemi informatici statistici, sugli istituti bancari (con particolare riferimento ai flussi di cui all’anagrafe dei conti), sull’attività di marketing di società pubbliche e private, sugli Enti pubblici (con riferimento a banche dati di notevoli dimensioni) e su società che usano carte di fidelizzazione di clienti.
LE SANZIONI
- >> Fino a 20 milioni di euro o al 2% del fatturato mondiale totale annuo dell’esercizio precedente. In caso di violazione degli obblighi del titolare o del responsabile del trattamento dei dati su consenso dei minori, il registro delle attività di trattamento, le misure di scurezza, il data-breach, la valutazione d’impatto, la certificazione della tutela dei dati e i codici di condotta.
- >> Fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo dell’esercizio precedente. In caso di violazione delle regole sulla liceità del trattamento e il consenso, l’informativa, il diritto di accesso, di rettifica, di cancellazione, di portabilità dei dati e di opposizione. Ne sono interessate anche le procedure di trasferimento dei dati verso Paesi terzi o organizzazioni internazionali, le norme relative al trattamento dei dati in materia di rapporti di lavoro e l’inosservanza di una prescrizione del Garante.
- >> Penali: riguardano il trattamento illecito dei dati; la comunicazione, diffusione illecita e acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, la falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante, l’inosservanza dei provvedimenti del Garante.
- >> Correttive: il Garante può rivolgere avvertimenti o ammonimenti al titolare, o al responsabile del trattamento dei dati, sul fatto che i trattamenti possono violare o hanno violato le norme. In questa tipologia sanzionatoria ci stanno anche le limitazioni al trattamento (provvisoria o definitiva); la rettifica, la cancellazione o l’aggiornamento dei dati personali; la revoca delle certificazioni; l’ordine di sospendere i flussi di dati verso un destinatario in un Paese terzo o un’organizzazione internazionale.
LA CHECK LIST CONTRO I PASSI FALSI
Per non correre rischi, Confartigianato Imprese Verona consiglia alle imprese di effettuare un check up degli adempimenti:
- >> Registro dei trattamenti e analisi dei rischi: compilare e tenere aggiornati il registro dei trattamenti e il documento di valutazione dei rischi
- >> Valutazione impatto privacy: verificarne l’obbligo di compilazione e aggiornare il documento
- >> Data breach: minimizzare i rischi e gli effetti negativi della violazione dei dati, notificare la violazione al Garante e comunicarla ai diretti interessati
- >> Contitolarità: un accordo da sottoscrivere nel caso in cui ci siano joint venture e mappare l’esternalizzazione dei trattamenti. In caso di outsourcing, stendere contratti con i responsabili esterni
- >> Autorizzati al trattamento: mappatura delle nomine esistenti, verifiche e allineamento delle “vecchie” nomine ai nuovi standard legali, profilazione dei dipendenti come utenti del sistema informativo aziendale, formazione nei confronti dei collaboratori
- >> Informazioni agli interessati: le informative devono essere messe a disposizione; icone e infografiche possono essere abbinate ai testi
- >> Consenso degli interessati: le imprese devono verificare i consensi già raccolti e appurare se sono o no in linea con gli articoli citati ed eventualmente procedere ad una regolarizzazione
- >> Dpo (Data Protection Officer): le imprese devono verificare l’obbligo di nomina, e la scelta di un Dpo esterno o interno, cui si deve far seguire la stesura di un contratto o di un atto di incarico.
LE DOMANDE PIU’ FREQUENTI DELLE IMPRESE
- >> Sono obbligato ad adeguarmi al Gdpr?
- >> Al Regolamento europeo sono soggette anche le imprese individuali, con una sola scrivania o senza sede? Quanto mi costa adeguarmi e mantenere il Gdpr?
- >> Quali rischi corro se non mi adeguo e quali sono le sanzioni?
- >> Devo rinnovarlo ogni anno?
PERCHE’ ADEGUARSI?
Innanzitutto, per essere conformi ad una direttiva europea che prevede pesanti sanzioni. Inoltre, il regolamento europeo 2016/679 può essere lo strumento per rivedere il flusso delle informazioni dal momento in cui entrano fino a quando escono dall’azienda. Infine, in un mondo sempre più connesso con tecnologie sofisticate e strutturate, il livello di rischio aumenta ed è fondamentale comprendere che la salvaguardia dei dati è una priorità per le aziende. Sono molte le realtà che non hanno messo in campo alcun processo di aggiornamento per la sicurezza dei sistemi, delle infrastrutture e delle reti, e c’è ancora molta confusione sui ruoli e le attività da svolgere per trattare correttamente i dati.
IL SERVIZIO
Confartigianato Imprese Verona ha pensato ad un servizio modulabile, con tre ambiti di intervento da poter scegliere (uno, due o tutti e tre), per aiutare le imprese ad entrare in modo pratico nel Regolamento europeo.
Formazione – Un corso per diventare autonomi
In un momento formativo (organizzato durante la settimana o il sabato), docenti specializzati formano e assistono piccoli gruppi di imprenditori. Gli obiettivi sono: formare i titolari di azienda in materia di privacy (stante l’obbligatorietà sostanziale della formazione prevista dal Regolamento Europeo); fornire ai partecipanti gli strumenti per valutare la situazione della propria azienda e le conoscenze necessarie per redarre in autonomia la modulistica.
Check-up e Consulenza – Monitoraggio e redazione documenti
Per chi preferisce un servizio in azienda (ma anche presso la sede di Confartigianato Verona), personalizzato, esclusivo e diretto, un consulente sarà a disposizione per verificare i bisogni dell’impresa, monitorare la situazione dell’adeguamento al Regolamento sulla privacy e per redarre tutti i documenti e la modulistica tarati sul caso specifico (no fac-simile o modelli prestampati).
Assistenza – Un esperto a tua disposizione… sempre!
Un nostro esperto sarà sempre a tua disposizione, a tariffazione oraria tarata su un pacchetto di minimo 3 ore, sia telefonicamente o per via informatica, per assisterti nelle procedure e nella risoluzione di qualsiasi problema relativo alla gestione della privacy.
Per informazioni e per fissare un appuntamento con i consulenti Privacy di Confartigianato Imprese Verona:
- tel. 0459211555
- info@confartigianato.verona.it