La materia è oggi regolata principalmente dal Regolamento UE 2016/679. Esso è costituito da 173 considerando e 99 articoli. Alcuni rilevanti argomenti in esso contenuti sono: principi, diritti, diritto all’oblio, protagonisti attivi, sicurezza, responsabilità e sanzioni, settori specifici, autorità pubbliche del settore protezione dei dati.
In estrema sintesi, i principi generali sono:
1. Liceità, correttezza e trasparenza. In applicazione di tale principio i soggetti interessati devono assicurarsi che la raccolta dei dati personali degli utenti non avvenga in violazione della legge.
2. Limitazione della finalità. Le imprese devono raccogliere i dati personali esclusivamente per scopi precisi ed indicati agli utenti in modo chiaro nell’informativa sulla privacy.
3. Conservazione e minimizzazione dei dati. Il tempo di conservazione dei dati deve essere strettamente legato alle finalità dichiarate e non eccedere le necessità. I dati personali devono essere solo quelli necessari al raggiungimento della finalità per i quali sono trattati.
4. Esattezza. L’interessato deve poterne chiedere la correzione sia in caso di errore sia in caso di variazioni
6. Integrità e riservatezza. I dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”. Sono previste procedure in caso di perdita o di furto dei dati. Tra le misure maggiormente adottate vi sono la crittografia e la pseudonimizzazione dei dati dove possibile, ciascuno è libero scegliere qualsiasi metodo ritenuto più idoneo.
7. Responsabilità e sanzioni. Nei confronti dei trasgressori sono previste pesanti sanzioni pecuniarie commisurate alla gravità del fatto e a diversi altri criteri con ampia flessibilità applicativa per le autorità competenti e con il limite di 10 milioni di euro EUR, o, per le imprese, del 2% del fatturato, per un primo elenco di norme del regolamento e di 20 milioni di euro, o, per le imprese (come obblighi del titolare e del responsabile del trattamento, ecc.), del 4% del fatturato per un secondo elenco di norme (come violazione dei principi; dei diritti degli interessati, per esempio, l’oblio, ecc.)
Servizio offerto alle imprese
Il servizio principalmente offerto alle imprese, pubbliche e private, in materia di applicazione delle norme in materia di privacy è quello di DPO (Data Protection Officer) o, altrimenti, denominato Responsabile della Protezione Dati (RPD) ivi compresa la disponibilità a verificare l’esistenza e l’adeguatezza della documentazione aziendale prodotta in relazione all’effettiva situazione aziendale, e la sua eventuale integrazione e/o aggiornamento.
Per le imprese di nuova costituzione, in particolare, si tratta della disponibilità a collaborare per l’integrale redazione della documentazione necessaria, in stretta correlazione all’effettiva situazione organizzativa aziendale, curando anche i successivi aggiornamenti al verificarsi di cambiamenti nell’OdL, nella strumentazione utilizzata e7o nella normativa vigente.
Tra i principali documenti che, generalmente le azienda devono disporre (salva l’applicazione di specifiche normative settoriali), vi sono i seguenti (in ordine alfabetico e non per rilevanza):
Comunicazione del CdA (o altro analogo organo gestionale: A.U., A.D., ecc.)
Analisi dei rischi e misure adottate
Mansionario
Informativa e consenso utenti/clienti al trattamento dei dati personali
Lettera di conferimento incarico per il trattamento dei dati
Lettere di incarico al trattamento dei dati per professionisti esterni
Policy Data Breach
Registro Data Breach
Registro dei trattamenti del titolare
Registro delle attività di trattamento
Registro degli Accessi agli Archivi Cartacei
Registro degli Accessi agli Archivi Sistema Videosorveglianza
Regolamento per il Trattamento dei Dati-Azienda
Regolamento Sistema Informativo
Regolamento Video Sorveglianza
Vademecum per gli Incaricati del trattamento dati
Vademecum per gli incaricati. APPENDICE SU GDPR