Dal 24/05/2016 è entrato in vigore il Nuovo Regolamento Europeo in materia di Protezione dei Dati Personali (Reg.EU 679/2016), che troverà piena applicabilità a partire dal 25.05.2018 e dovrà essere attuato da tutte le aziende, gli enti pubblici, le associazioni e i liberi professionisti.
Implementazione modello organizzativo Privacy
Le aziende devono predisporre il registro in cui sono indicati i titolari e i responsabili del trattamento e le caratteristiche del trattamento stesso e sono descritti i sistemi e le misure di tutela degli interessati.
E’ obbligatorio per le aziende con oltre 250 dipendenti o con particolari trattamenti a rischio.
Occorre, in primo luogo, verificare le figure eventualmente nominate (titolare del trattamento, responsabili del trattamento, soggetti incaricati); poi è necessario aggiornare i loro compiti alle nuove disposizioni.
Per procedere alla valutazione dei rischi occorre individuare le attività aziendali, definire l’ordine e i tempi dei processi e mappare i principali rischi a impatto privacy, aggiornare e indicare le principali misure tecniche ed organizzative.
Per fronteggiare le eventuali violazioni dei dati personali occorre individuare un ufficio responsabile e predisporre i moduli per la presentazione delle comunicazioni specifiche e differenziate a seconda della tipologia di segnalazione.
Le aziende devono pianificare e realizzare corsi di vario livello al fine di diffondere una cultura di responsabilità all’interno dell’impresa, rivolti soprattutto al personale che ha accesso permanente o regolare ai dati personali.
Il responsabile della protezione dei dati deve essere sempre nominato dagli enti pubblici e da quelli privati solo se trattano i dati degli interessati su larga scala o trattano dati particolari. Occorre precisare i suoi compiti e coordinare la sua attività con i responsabili informatici (IT) e l’organismo di vigilanza (se presente).
Per le piccole e medie imprese è richiesto un nuovo approccio culturale e organizzativo, in particolare alle piccole e medie imprese che devono gestire una molteplicità e complessità di dati e informazioni, sparsi tra i vari settori aziendali.
Il nuovo regolamento ha previsto un deciso inasprimento delle sanzioni, sia pecuniarie (fino a € 20.000.000,00) che penali.