Data Privacy: Manca poco, sei pronto

Nella News precedente (link) l’avvocato Silvia Stefanelli, fondatore dello studio legale Stefanelli&Stefanelli di Bologna – partner di PKE – ci ha parlato di data privacy e data protection ed in particolar modo dell’implementazione obbligatoria che le aziende dovranno effettuare entro in 25 maggio 2018 per essere in linea con il recente Reg.Ue 679/2016. Ci sono 10 passi fondamentali che le aziende devono rispettare; abbiamo già visto i primi 5, esaminiamo adesso gli ultimi 5 step:

1.  Il rispetto dell’accountability: l’accountability è principio cardine del nuovo sistema: il titolare non è chiamato infatti al mero adempimento di un elenco di obblighi, ma è tenuto oggi a valutare i suoi trattamenti sotto il profilo del rischio, ad implementare le misure idonee e necessarie, a gestire il rischio residuo e, soprattutto, a dimostrare perché ha scelto quello misure (piuttosto che altre). Cambia quindi totalmente la prospettiva: da reattiva a pro-attiva. Occorre quindi rivedere il proprio processo interno di gestione del dato sotto questa nuovo lente
2.  La privacy by design, il registro dei trattamenti, la valutazione di impatto: il Regolamento introduce poi nuovi adempimenti che occorre sin da oggi cominciare a capire ed ad implementare: una riorganizzazione del servizio o una progettazione del prodotto che tenga conto della privacy sin dall’inizio (privacy by design e by default - art. 25), la predisposizione del registro delle attività di trattamento ove richiesto (art. 30), la valutazione di impatto (art. 35) richiesta nello specifico per il trattamento dei dati sanitari su larga scala.
3.  Data Protection Officer: è una figura nuova, che svolge in parte attività di consulenza e formazione ed in parte attività di controllo. E’ tenuto ad avere conoscenza sul nuovo Regolamento e sugli atti interpretativi (corte di giustizia e WP 29) nonché competenza di natura tecnologia. Inoltre, proprio in ragione dei suoi compiti di controllo, non può essere in posizione di conflitto di interessi. In ragione di quanto sopra, nelle Linee Guida del WP29 si ammette espressamente la possibilità che l’incarico sia conferito ad enti giuridici che possano vantare una multiprofessionalità.
4.  Il trasferimento di dati: Occorre accertarsi dove sono i propri dati e come vengono trattati, specie nel caso di cloud o di uso di app. E’ poi necessario verificare se il paese dove eventualmente  i dati risiedono o sono trasferiti ha un accordo con la UE, e quali sono i termini. 
5.  Data breach: esteso a tutti i trattamenti ed a tutti i titolari l’obbligo di comunicare eventuali violazione dei dati o del sistema (meccanismo già obbligatorio in area sanitaria per il Dossier Sanitario). Occorre quindi predisporre idonea procedura interna. 

Ci sono 452 giorni per essere compliance al nuovo Regolamento; in carenza scatterà il rischio sanzioni che con la nuova disciplina potranno  arrivare fino a 20 milioni di euro e/o 4% del fatturato mondiale annuo dell’azienda (art. 83 co 4 e 5). Il tempo non è molto, mentre il rischio è molto alto: occorre partire! (scarica l'allegato con i 10 step).

Per partire contattaci

 
Autore:

Silvia Stefanelli

Silvia Stefanelli è avvocato cassazionista, fondatore e co-titolare dello Studio Legale Stefanelli&Stefanelli, specializzato in ambito di sanità ed appalti. Esperta di diritto sanitario, con particolare competenza in materia di organizzazione di servizi sanitari in ambito pubblico e privato, dispositivi medici, data protection e responsabilità medica. Si occupa ampiamente di sanità digitale.

Segui Silvia Stefanelli: