Il General Data Protection Regulation (GDPR), ovvero il Regolamento UE n. 679/2016 sulla protezione dei dati personali (o Regolamento sulla privacy), è entrato in vigore il 24 maggio 2016, per divenire pienamente applicabile dal 25 maggio 2018, abrogando la Direttiva 95/46/CE. Il testo affronta anche il tema dell’esportazione di dati personali al di fuori dell’UE e obbliga tutti i Titolari del trattamento dei dati (anche con sede legale fuori dall’Unione Europea) che trattano dati di residenti nell’unione europea ad osservare ed adempiere agli obblighi previsti.
Obiettivi del GDPR
Gli obiettivi principali della Commissione europea nel GDPR sono quelli di restituire ai cittadini il controllo dei propri dati personali e di semplificare il contesto normativo che riguarda gli affari internazionali unificando e rendendo omogenea la normativa privacy dentro l’UE.
Impatto del GDPR sulla normativa italiana
Dal 25 maggio 2018, il GDPR andrà a sostituire la direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/EC) istituita nel 1995, abrogherà le norme del Codice per la protezione dei dati personali (dlgs.n. 196/2003) che risulteranno con esso incompatibili. Ciò potrà generare confusione per alcuni ma si attende una normativa italiana “di raccordo” che metta ordine e inserisca le norme del Codice privacy non incompatibili all’interno dell’impianto normativo del Regolamento. Con Direttiva UE 2016/680, in aggiunta a questo nuovo regolamento sarà applicata una disciplina speciale e in parte derogatrice per i trattamenti dei dati da parte dell’Autorità Giudiziaria e di tutte le forze di polizia; in ragione della caratteristica dell’istituto della direttiva europea tali trattamenti dei dati (Autorità Giudiziaria e forze di polizia) continueranno ad essere differenti da Stato a Stato ed oggetto di una legislazione separata nazionale.
Nuovi obblighi del GDPR
Alcune novità del GDPR impongono un’attenta pianificazione fin da subito, potendo comportare modifiche organizzative significative e investimenti di natura tecnologica. Inoltre il GDPR rovescia completamente la prospettiva della disciplina di riferimento, istituendo un quadro normativo tutto incentrato sui doveri e la responsabilizzazione del Titolare del trattamento (principio di “accountability”).
Registro delle attività di trattamento
La nuova disciplina impone a tale soggetto di garantire il rispetto dei principi in essa contenuti, ma anche di essere in grado di comprovarlo, adottando una serie di strumenti che lo stesso GDPR indica. In primis, il registro delle attività di trattamento, che deve contenere una serie di informazioni, tra cui le finalità del trattamento, la descrizione delle categorie di interessati e di dati personali che vengono trattati, oltre che l’indicazione delle misure di sicurezza adottate. La tenuta del registro costituisce un adempimento di fondamentale importanza nell’ottica del principio di accountability, in quanto permette di monitorare in maniera approfondita le operazioni di trattamento all’interno dell’organizzazione.
GDRP e valutazione dei rischi
Tale registro costituisce sia uno strumento operativo di lavoro con cui censire in maniera ordinata le banche dati e gli altri elementi rilevanti per assicurare un sano “ciclo di gestione” dei dati personali, sia un vero e proprio documento di carattere probatorio mediante il quale il Titolare del trattamento può dimostrare di aver adempiuto alle prescrizioni del Regolamento. A tal fine, può risultare utile indicare nel registro una serie di elementi non espressamente imposti dall’art. 30 del GDPR, ma comunque importanti per tener traccia delle operazioni di trattamento effettuate. Tra questi, ad esempio, la base giuridica del trattamento (ricompresa tra gli elementi che devono essere contenuti nell’informativa da consegnare all’interessato), o gli applicativi e/o database utilizzati, la cui elencazione può risultare necessaria per mappare con esattezza le misure di sicurezza implementate/da implementare, oltre che per condurre efficacemente la valutazione dei rischi.
Chi è il Data Protection Officer
Il Titolare del trattamento potrà nominare un Data Protection Officer (DPO), ovvero una figura specialistica e altamente qualificata che supporti l’applicazione degli obblighi della nuova normativa, e funga da punto di contatto con le Autorità di controllo e gli interessati. La designazione del DPO è obbligatoria solo in alcuni casi (trattamenti effettuati su larga scala, posti in essere da un’Autorità pubblica/organismo pubblico, o che ricomprendono categorie particolari di dati personali). Tuttavia, costituisce una buona prassi anche per le aziende che sarebbero esenti da tale adempimento.
Adeguamento alla nuova normativa del GDPR
In sostanza, l’ampio spettro di novità introdotte dal GDPR impone di definire un piano di adeguamento alla nuova normativa, coinvolgendo le diverse funzioni aziendali coinvolte in operazioni di trattamento di dati personali. È fondamentale sfruttare appieno il periodo transitorio a disposizione, per garantire la conformità alle nuove disposizioni entro il 25 maggio 2018.
GDPR e modello 231: Bluen
Il GDPR e Modello 231 hanno diverse somiglianze. Il Codice etico potrebbe includere la protezione dei dati personali come principio, mentre il sistema sanzionatorio dovrebbe contemplare anche sanzioni per il mancato rispetto delle misure di protezione dei dati. Inoltre, le procedure del Modello 231 dovrebbero considerare anche gli aspetti relativi alla protezione dei dati personali, inclusi i rapporti con l’Autorità Garante e il Data Breach.
Bluen è un software completo per la gestione del modello organizzativo 231, che offre anche una soluzione efficace per la conformità alla GDPR. Grazie alle sue funzionalità in cloud, Bluen consente di mantenere costantemente aggiornata tutta la documentazione, inclusa quella di audit, e di gestire in modo efficace il rischio di ogni processo, compresi quelli relativi alla privacy e alla protezione dei dati personali.
Il pannello di controllo di Bluen permette di affrontare la gestione e la prevenzione di ogni attività sensibile, offrendo un’ampia panoramica sul rischio di ciascun processo, dall’ambiente alla sicurezza, dalla privacy ai reati tributari. Grazie a Bluen, è possibile realizzare un modello organizzativo in linea con i requisiti della legge 231 del 2001, ma anche con le disposizioni del GDPR, garantendo la conformità alle nuove normative sulla protezione dei dati personali.
Inoltre, Bluen offre un sistema vivo e costantemente aggiornato, che permette di gestire in modo efficace la documentazione e di mantenere sotto controllo il rischio di ogni processo. Grazie alla sua flessibilità e alle sue funzionalità avanzate, Bluen è la soluzione ideale per le aziende che vogliono adottare un modello organizzativo efficace e conformarsi alle nuove normative sulla privacy e sulla protezione dei dati personali.