News
Gennaio 2018
Regolamento Ue 679/2016 (tutela della riservatezza): le imprese devono adeguare l’organigramma e procedere alla valutazione dei rischi.
Revisione dell’organigramma e ripartizione delle funzioni, valutazione dei rischi e individuazione degli strumenti per tutelare la riservatezza; la realizzazione del “modello organizzativo privacy” (in vigore dal 25 maggio 2018) risulta molto simile alle disposizioni del decreto legislativo 231/2001 in materia di responsabilità amministrativa degli enti.
Il regolamento Ue 679/2016 rivoluziona la normativa sulla privacy, abrogando, tra l’altro, la direttiva 95/46. Per adeguarsi alle nuove norme, le imprese devono rivedere la compliance interna finalizzata a garantire la protezione dei dati e delle informazioni personali che trattano e conservano. Il titolare del trattamento ha il compito di attuare gli adempimenti previsti dalla normativa oltre a dover provare di aver intrapreso le iniziative necessarie per assicurare l’adeguamento delle policy interne alla nuova disciplina.
La prova dell’avvenuto adeguamento comporta l’adozione di un documento definito come “modello organizzativo privacy”. Questo modello dovrebbe racchiudere tutti gli adempimenti atti ad assicurare la riservatezza e il più elevato grado di tutela per i dati personali trattati nelle società (modello simile a quello che è predisposto per rispettare il decreto legislativo 231/2001).
Innanzitutto si prevede la revisione dell’organigramma, seguita dalla verifica circa l’obbligatorietà di nominare un Data protection officer che sembra pienamente rispondere al criterio della segregation of duties che già governa il sistema 231.
Di notevole impatto è l’obbligo di provvedere alla valutazione dei rischi privacy destinata a confluire in un documento riepilogativo delle analisi effettuate, dove sono individuati i possibili rischi associati alle distinte attività svolte.
In tema whistleblowing (legge 179/2017, dal 29 dicembre 2017), è infine richiesta l’introduzione di specifiche modalità di presentazione delle comunicazioni circa eventuali violazioni riscontrate sui dati personali (data breach): sarà utile predisporre moduli distinti a seconda della tipologia di violazione riscontrata, individuare un ufficio responsabile per ricevere le segnalazioni oltre che individuare le eventuali iniziative da intraprendere.
Infine, allo scopo di sensibilizzare tutto il personale dipendente, nonché le funzioni aziendali impiegate a ogni livello nell’assessment societario, è prevista l’implementazione di un codice di condotta per garantire la corretta osservanza delle prescrizioni del regolamento Ue.