Domani 25 maggio 2018 ultimo giorno per adeguarsi alla normativa sul GDPR.
Disponibile gratuitamente il software per l’adempimento sul sito del garante della privacy.
——————————————
Più facile e conveniente per le piccole e medie imprese la valutazione dell’impatto del nuovo codice privacy GDPR per le pmi ai fini della valutazione dell’ impatto privacy (noto anche come D.P.I.A. acronimo di Data Protection Impact Assessment), previsto dal Regolamento Ue n. 2016/679 art. 35 , operativo appunto da domani d25 maggio 2018.
Il garante della privacy italiano ha stretto collaborazione con l’omologa autorità francese (Cnil) costruendo un software gratuito che consente l’elaborazione del piano trattamento dati. E’ possibile ottenere il software dal sito (www.garanteprivacy.it) il collegamento al software gratuito e liberamente scaricabile (https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil).
L’elaborazione permette di entrare in un percorso guidato, utilissimo soprattutto alle piccole realtà imprenditoriali, per gestire i trattamenti dei dati con elevato rischio sicurezza. Il garante della privacy ha avvisato che il software deve intendersi, come MODELLO DI VALUTAZIONE E NON SCHEMA PREDEFINITO, per ogni valutazione, che evidentemente andrà integrato, quando la singola tipologia di trattamento non rientra tra quelle contemplate nel software.
La stima dell’impatto del trattamento sulla protezione dei dati DEVE SOPPESARE il rischio complessivo per i diritti e le libertà degli interessati, inserito nello specifico ambito applicativo.
Il concetto di rischio di acquisizione illegale di dati non si esaurisce nella considerazione delle possibili violazioni o minacce della sicurezza dei dati ma va oltre, valutando anche i dati che è necessario divulgare, rispetto a quelli pur posseduti che non necessità trasferire per alcuna finalità utile all’interessato.
Il garante infatti avverte a non scambiare la valutazione di impatto della protezione dei dati con le misure di sicurezza soprattutto informatiche.
Il rischio di cui si tratta nella valutazione di impatto riguarda l’interessato e non il titolare del trattamento.
Il software sopra scaricabile settorizza i rischi e i rimedi e propone un percorso guidato fino alla valutazione finale.
Previsto l’inserimento del parere del Responsabile della protezione dei dati.
La responsabilità del GDPR spetta al titolare del trattamento (previste sanzioni amministrative fino a 10 milioni di euro o il 4% del fatturato), anche se la guida effettiva della valutazione di impatto è affidata ad altri soggetti facenti parte dell’organizzazione aziendale o associativa.
Il titolare del trattamento, responsabile, è obbligato a controllarne lo svolgimento consultandosi con il responsabile della protezione dei dati (Rpd, in inglese Dpo) e acquisendo, se i trattamenti lo richiedono, il parere di esperti di settore, del responsabile della sicurezza dei sistemi informativi (Chief Information Security Officer, Ciso) e del responsabile IT.
La Dpia-gdpr DEVE ESSERE ELABORATA in tutti i casi in cui un trattamento DEI DATI
può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Il Gruppo Art. 29 (gruppo dei Garanti europei della privacy) ha INDICATO 9 criteri specifici DI IDENTIFICAZIONE DEL RISCHIO ELEVATO:
la Dpia è necessaria QUANDO RICORRANO ALMENO DUE DI QUESTE SITUAZIONI MA IL TITOLARE DEL TRATTAMENTO PUO’ OSSERVARE IL CODICE GDPR ANCHE QUANDO NE RICORRA UNO SOLO.
Per problemi contattaci.