Ancora molte imprese ed enti pubblici sono impreparati ad accogliere le novità introdotte dal nuovo Regolamento europeo sulla Protezione dei Dati Personali.

Cos’è il GDPR?
Il Regolamento UE 2016/679 noto GDPR (General Data Protection Regulation) stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali nonché definisce i diritti e le libertà fondamentali delle persone fisiche e, in particolare, il diritto alla protezione dei dati personali.

Il GDPR entrerà ufficialmente in vigore il 25 maggio 2018 e ciò significa che entro tale data tutte le aziende dovranno essersi adeguate alla nuova normativa.

Il GDPR prevede modifiche sostanziali al modo in cui vengono conservati ed utilizzati i dati raccolti (non solo online), ma anche alle modalità con cui le persone danno o meno il consenso al trattamento di quei dati.  Vengono introdotte regole più chiare in materia di informativa e consenso e definiti i limiti al trattamento automatizzato dei dati personali. Si prevedono nuovi diritti per gli interessati e si stabiliscono criteri rigorosi per il trasferimento dei dati al di fuori dell’UE e per i casi di violazione dei dati personali (cosiddetto data breaches).

I cambiamenti introdotti dal GDPR sono numerosi e le azioni da intraprendere e richiedono una approfondita analisi e una pianificazione per la loro esecuzione ma gli sforzi dedicati a queste attività possono essere trasformati anche in opportunità di business: evitare di ‘tempestare’ clienti o potenziali clienti con comunicazioni indesiderate può sicuramente  migliorare l’immagine dell’azienda così come evitare che venga divulgata la notizia che i dati in nostro possesso sono stati oggetto di attacco informatico e sono stati diffusi o persi; , evitare di intraprendere attività di profilazione o campagne marketing non a norma determina un miglioramento delle performance ed un’ottimizzazione delle risorse.
Insomma, le pratiche di adeguamento al nuovo regolamento europeo per la protezione dei dati possono essere anche un’ottima opportunità di crescita.

Perché è necessario valutare i rischi privacy?
Uno dei pilastri del nuovo Regolamento Privacy è il principio di accountability (tradotto in “responsabilizzazione e obbligo di rendicontazione“).

Il titolare del trattamento dei dati deve cioè essere in grado di dimostrare di avere adottato un insieme di misure giuridiche, tecniche ed organizzative per la protezione e il trattamento dei dati personali: deve cioè dimostrare in modo proattivo che i trattamenti di dati effettuati sono adeguati e conformi al regolamento europeo in materia di privacy.

Il cambiamento di approccio è evidente rispetto alla vecchia normativa Privacy: si passa da una concezione prettamente formale di mero adempimento ad un approccio sostanziale di trattamento dei dati sensibili, tutela dei dati e delle persone stesse ed è pertanto strettamente connesso con le misure di sicurezza e con l’analisi del rischio, con la valutazione di impatto privacy e con i principi privacy by design e privacy by default che devono essere presenti nella progettazione di servizi e programmi.

A questo punto una valutazione dei rischi, l’identificazione dei soggetti che parteciperanno, l’analisi del flusso di informazioni che l’azienda tratta, l’identificazione dei rischi e delle possibili soluzioni e la verifica della compatibilità con il regolamento sono essenziali anche per evitare le sanzioni che possono arrivano al 4% del fatturato globale annuo.

Cosa si deve fare per mettersi in regola?
Prima di apportare modifiche alle procedure interne, è bene averle chiare nel loro complesso.
Il primo passo dev’essere quindi un’analisi delle pratiche in uso in azienda, così da sapere esattamente dove e come intervenire per garantire la conformità delle stesse.

Sulla base delle specificità di ogni singola azienda si possono comunque identificare una serie di attività che è necessario prevedere:
Ancora molte imprese ed enti pubblici sono impreparati ad accogliere le novità introdotte dal nuovo Regolamento europeo sulla Protezione dei Dati Personali.

la mappatura del flusso dei dati e la necessità/opportunità di predisporre il Registro dei trattamenti
la definizione e la formalizzazione della struttura organizzativa della data protection (ruoli e responsabilità);
la formazione dei soggetti chiamati a ricoprire un ruolo attivo nell’ambito aziendale senza dimenticare le attività di sensibilizzazione della popolazione aziendale indirettamente coinvolta nella protezione dei dati personali;
la definizione, formalizzazione e implementazione di processi e regole connessi alla protezione dei dati personali, (es. gestione dei diritti degli interessati, gestione misure di sicurezza tecnico-organizzative);
la stesura ex novo della documentazione o modifica della documentazione esistente (es. informative, moduli di consenso, clausole contrattuali);
la definizione e implementazione di un sistema di controlli interni per la protezione dei dati personali compresa la realizzazione di verifiche interne volte a evidenziare eventuali non conformità.

Cosa succede se non si adempie?
Per rispondere a questa domanda basta ricordare che le sanzioni sono state decisamente inasprite e possono arrivare fino al 4% del fatturato o a 20 milioni di euro!

Ma al di là della minaccia di sanzioni così alte il mancato adempimento può essere un disastro anche in termini di immagine dell’azienda da parte dei clienti/consumatori.

Non solo: anche i tempi massimi per la notifica di un data breach sono ora indicati con precisione, pertanto è bene dimenticarsi della possibilità di procedere con l’adeguamento al GDPR e con gli adempimenti privacy per poi lasciarli nel dimenticatoio: non si tratta di fare uno sforzo una tantum, qui si fa sul serio e tutti i dipartimenti coinvolti nella raccolta e nella gestione dei dati devono essere proattivi.

DENUNCIA ANNUALE DEI RIFIUTI PRODOTTI E SMALTITI NEL CORSO DELL’ANNO 2017 - MODELLO UNICO DI DICHIARAZIONE AMBIENTALE (MUD)

Entro il 30 Aprile 2018 deve essere presentato il Modello Unico di Dichiarazione Ambientale (MUD) alla Camera di Commercio, per la denuncia annuale dei rifiuti prodotti e smaltiti nel corso dell’anno 2017.
La modulistica e le modalità per la compilazione e l’invio del Modello unico di dichiarazione ambientale nel 2018 sono definite nel l D.P.C.M. 28 dicembre 2017, pubblicato sul S.O. alla Gazzetta Ufficiale del 30 dicembre 2017.
Le norme che individuano i soggetti tenuti ad effettuare la comunicazione annuale al catasto dei rifiuti non hanno subito modifiche rispetto al 2017; non vi sono quindi variazioni dell’insieme di imprese ed enti tenuti a presentare il MUD.

In particolare, i soggetti obbligati a presentare la comunicazione sono i seguenti (art. 189, c. 3, D.Lgs. 152/2006)

• Chiunque effettua a titolo professionale attività di raccolta e trasporto di rifiuti (compresi le imprese e gli enti che trasportano i rifiuti speciali pericolosi che decadono dall’esercizio della loro attività);
• Commercianti e intermediari di rifiuti senza detenzione;
• Imprese ed enti che effettuano operazioni di recupero e smaltimento dei rifiuti;
• Imprese ed enti produttori iniziali di rifiuti pericolosi;
• Imprese ed enti produttori che hanno più di dieci dipendenti e sono produttori iniziali di rifiuti non pericolosi derivanti:

• da lavorazioni industriali
• da lavorazioni artigianali
• da attività di recupero e smaltimento di rifiuti, o costituiti da fanghi prodotti
  dalla potabilizzazione e da altri trattamenti delle acque e
  dalla depurazione delle acque reflue e da abbattimento dei fumi

Si coglie l’occasione per fornire aggiornamenti sul sistema informatico SISTRI: la legge 205/2018 (legge di bilancio) prevede la proroga a fine 2018 del periodo transitorio in cui continuano ad applicarsi  gli adempimenti e gli obblighi di cui agli articoli 188, 189, 190 e 193 del decreto legislativo 3 aprile 2006, n. 152, nel testo previgente alle modifiche apportate dal decreto legislativo 3 dicembre 2010, n. 205, nonché' le relative sanzioni.
Durante questo periodo non si applicano le sanzioni per mancata o errata tenuta del registro cronologico o della scheda SISTRI .

In sostanza quindi continua ad applicarsi il cd. doppio binario che prevede la tenuta dei registri in modalità cartacea e, per gli obbligati, anche con il sistema informatico.

Per ulteriori informazioni, ci contatti via mail Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.