Il trattamento e la protezione dei dati personali sono disciplinati dal Regolamento Europeo 679/2016 e dal D.lgs. 101/2018 che modifica la L. 196/2003 in materia di privacy.
La disciplina si basa sulla trasparenza e liceità nel trattamento dei dati e introduce un approccio metodologico di accountability, mutuato dai principali standard internazionali in materia di sicurezza delle informazioni, come la ISO 27001/2017.
Società, enti non profit, pubblica amministrazione, professionisti ed imprese sono interessati dalla normativa: infatti devono implementare un sistema di govenance interno e, se necessario, dotarsi di un Data Protection Officer, elaborare il registro dei trattamenti mappando tutte le attività relative alla gestione dei dati personali e le figure responsabili di tali trattamenti, elaborare la Data Protection Impact Analysis e il conseguente piano di implementazione delle misure tecniche ed organizzative individuate per fronteggiare i rischi.
Vi segnaliamo alcuni adempimenti previsti dalla normativa:
- Attivazione ed aggiornamento di un registro dei trattamenti, con indicazione dei dati trattati, la base giuridica, le modalità di gestione e i responsabili.
- Previsione di diritti esercitabili da parte dell’interessato che l’azienda deve essere in grado di soddisfare prontamente.
- L’approccio al trattamento dei dati personali viene basato sull’analisi dei rischi che combina il valore delle informazioni con le probabili minacce e le vulnerabilità sfruttabili da tali minacce, così da attivare un piano di trattamento di rischio (Risk Treatment Plan).
- L’applicazione di tecnologie orientate alla protezione dei dati attraverso tecniche di pseudonimizzazione, anonimizzazione o cifratura che, in caso di violazione e sottrazione del dato, lo rendono di fatto illeggibile.
- L’obbligo di notificare un’eventuale violazione di dati (Data Breach Notification) all’Autorità garante competente e agli interessati oggetto della violazione, soprattutto se ci sono rischi per i loro diritti e libertà.
- L’introduzione di sanzioni estremamente elevate: fino a 20 milioni di euro o al 4% del fatturato globale annuo.