Privacy: tempo scaduto! Dall’entrata in vigore del Regolamento Generale sulla Protezione dei Dati dell’Unione Europea (Gdpr) è trascorso quasi un anno, mentre sono passati otto mesi dall’entrata in vigore del decreto che ha introdotto il cosiddetto “periodo di rispetto”, che dal 19 maggio è arrivato a scadenza. D’ora in poi, le verifiche da parte del Garante della Privacy, con la collaborazione del Nucleo Speciale Privacy della Guardia di Finanza, saranno meno “comprensive” e le sanzioni più puntuali.

LE VERIFICHE PROGRAMMATE NEL 2019

Il piano ispettivo del Garante, in questi primi mesi del 2019, si è concentrato sul settore sanità, sui trattamenti effettuati dall’Istat e altri sistemi informatici statistici, sugli istituti bancari (con particolare riferimento ai flussi di cui all’anagrafe dei conti), sull’attività di marketing di società pubbliche e private, sugli Enti pubblici (con riferimento a banche dati di notevoli dimensioni) e su società che usano carte di fidelizzazione di clienti.

LE SANZIONI

• >> Fino a 20 milioni di euro o al 2% del fatturato mondiale totale annuo dell’esercizio precedente. In caso di violazione degli obblighi del titolare o del responsabile del trattamento dei dati su consenso dei minori, il registro delle attività di trattamento, le misure di scurezza, il data-breach, la valutazione d’impatto, la certificazione della tutela dei dati e i codici di condotta.
• >> Fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo dell’esercizio precedente. In caso di violazione delle regole sulla liceità del trattamento e il consenso, l’informativa, il diritto di accesso, di rettifica, di cancellazione, di portabilità dei dati e di opposizione. Ne sono interessate anche le procedure di trasferimento dei dati verso Paesi terzi o organizzazioni internazionali, le norme relative al trattamento dei dati in materia di rapporti di lavoro e l’inosservanza di una prescrizione del Garante.
• >> Penali: riguardano il trattamento illecito dei dati; la comunicazione, diffusione illecita e acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, la falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante, l’inosservanza dei provvedimenti del Garante.
• >> Correttive: il Garante può rivolgere avvertimenti o ammonimenti al titolare, o al responsabile del trattamento dei dati, sul fatto che i trattamenti possono violare o hanno violato le norme. In questa tipologia sanzionatoria ci stanno anche le limitazioni al trattamento (provvisoria o definitiva); la rettifica, la cancellazione o l’aggiornamento dei dati personali; la revoca delle certificazioni; l’ordine di sospendere i flussi di dati verso un destinatario in un Paese terzo o un’organizzazione internazionale.

LA CHECK LIST CONTRO I PASSI FALSI

Per non correre rischi, Confartigianato Imprese Verona consiglia alle imprese di effettuare un check up degli adempimenti:

• >> Registro dei trattamenti e analisi dei rischi: compilare e tenere aggiornati il registro dei trattamenti e il documento di valutazione dei rischi
• >> Valutazione impatto privacy: verificarne l’obbligo di compilazione e aggiornare il documento
• >> Data breach: minimizzare i rischi e gli effetti negativi della violazione dei dati, notificare la violazione al Garante e comunicarla ai diretti interessati
• >> Contitolarità: un accordo da sottoscrivere nel caso in cui ci siano joint venture e mappare l’esternalizzazione dei trattamenti. In caso di outsourcing, stendere contratti con i responsabili esterni
• >> Autorizzati al trattamento: mappatura delle nomine esistenti, verifiche e allineamento delle “vecchie” nomine ai nuovi standard legali, profilazione dei dipendenti come utenti del sistema informativo aziendale, formazione nei confronti dei collaboratori
• >> Informazioni agli interessati: le informative devono essere messe a disposizione; icone e infografiche possono essere abbinate ai testi
• >> Consenso degli interessati: le imprese devono verificare i consensi già raccolti e appurare se sono o no in linea con gli articoli citati ed eventualmente procedere ad una regolarizzazione
• >> Dpo (Data Protection Officer): le imprese devono verificare l’obbligo di nomina, e la scelta di un Dpo esterno o interno, cui si deve far seguire la stesura di un contratto o di un atto di incarico.

LE DOMANDE PIU’ FREQUENTI DELLE IMPRESE

• >> Sono obbligato ad adeguarmi al Gdpr?
• >> Al Regolamento europeo sono soggette anche le imprese individuali, con una sola scrivania o senza sede? Quanto mi costa adeguarmi e mantenere il Gdpr?
• >> Quali rischi corro se non mi adeguo e quali sono le sanzioni?
• >> Devo rinnovarlo ogni anno?

PERCHE’ ADEGUARSI?

Innanzitutto, per essere conformi ad una direttiva europea che prevede pesanti sanzioni. Inoltre, il regolamento europeo 2016/679 può essere lo strumento per rivedere il flusso delle informazioni dal momento in cui entrano fino a quando escono dall’azienda. Infine, in un mondo sempre più connesso con tecnologie sofisticate e strutturate, il livello di rischio aumenta ed è fondamentale comprendere che la salvaguardia dei dati è una priorità per le aziende. Sono molte le realtà che non hanno messo in campo alcun processo di aggiornamento per la sicurezza dei sistemi, delle infrastrutture e delle reti, e c’è ancora molta confusione sui ruoli e le attività da svolgere per trattare correttamente i dati.

IL SERVIZIO

Confartigianato Imprese Verona ha pensato ad un servizio modulabile, con tre ambiti di intervento da poter scegliere (uno, due o tutti e tre), per aiutare le imprese ad entrare in modo pratico nel Regolamento europeo.

Formazione – Un corso per diventare autonomi

In un momento formativo (organizzato durante la settimana o il sabato), docenti specializzati formano e assistono piccoli gruppi di imprenditori. Gli obiettivi sono: formare i titolari di azienda in materia di privacy (stante l’obbligatorietà sostanziale della formazione prevista dal Regolamento Europeo); fornire ai partecipanti gli strumenti per valutare la situazione della propria azienda e le conoscenze necessarie per redarre in autonomia la modulistica.

Check-up e Consulenza – Monitoraggio e redazione documenti

Per chi preferisce un servizio in azienda (ma anche presso la sede di Confartigianato Verona), personalizzato, esclusivo e diretto, un consulente sarà a disposizione per verificare i bisogni dell’impresa, monitorare la situazione dell’adeguamento al Regolamento sulla privacy e per redarre tutti i documenti e la modulistica tarati sul caso specifico (no fac-simile o modelli prestampati).

Assistenza – Un esperto a tua disposizione… sempre!

Un nostro esperto sarà sempre a tua disposizione, a tariffazione oraria tarata su un pacchetto di minimo 3 ore, sia telefonicamente o per via informatica, per assisterti nelle procedure e nella risoluzione di qualsiasi problema relativo alla gestione della privacy.

Per informazioni e per fissare un appuntamento con i consulenti Privacy di Confartigianato Imprese Verona:

• tel. 0459211555
• info@confartigianato.verona.it

ALLEGATO

Locandina Servizi GDPR