In occasione dell’ottava edizione del Privacy Day al CNR di Pisa il Segretario generale del Garante Privacy, Giuseppe Busia, ha sottolineato che, a poco più di anno dell’entrata in vigore del GDPR 679/2016, hanno riscontrato “un calo di attenzione” – “e questo non è nella logica del nuovo Regolamento UE, che non prevede un adempimento ‘una tantum’, ma richiede una manutenzione continua in un cammino che si fa di giorno in giorno, e quindi c’è qualcosa da recuperare sotto questo profilo”.
Il Segretario Giuseppe Busia ha inoltre ribadito l’importanza di svolgere monitoraggi periodici come previsto dalla normativa al proprio sistema privacy per non incorrere in eventuali sanzioni.
Trascorso il periodo transitorio di “tolleranza” che tutti gli Stati europei hanno osservato per consentire alle imprese di adeguarsi al nuovo sistema legato al GDPR, hanno preso avvio le prime verifiche e controlli (audit, ispezioni, indagini) nonché le prime sanzioni amministrative.
Per quanto riguarda l’Italia il Garante privacy ha stabilito la sanzione di €. 16.000 ad un medico per trattamento illecito di dati personali. Nel caso specifico, è stata punita dal Garante la condotta del professionista consistente nell’aver utilizzato gli indirizzi di circa 3.500 ex-pazienti per inviare lettere a sostegno di un candidato alle elezioni, senza che gli interessati avessero espresso specifico consenso.
Il Garante ha ritenuto sussistente la responsabilità del medico sotto due distinti profili. Innanzitutto, il professionista non ha reso l’informativa né al momento della registrazione dei dati dei pazienti né alla prima comunicazione, come previsto dal Codice privacy, inoltre, il medico ha utilizzato i dati dei suoi ex-pazienti per finalità diverse da quelle di cura per le quali erano stati raccolti, senza aver acquisito per questo uno specifico e autonomo consenso.
Ribadiamo che è fondamentale nell’ ottica di una tutela dell’azienda e del mantenimento della conformità al Regolamento, oggetto di sanzioni, prevedere un aggiornamento continuo e una verifica mediante l’esecuzione di audit periodici condotti da personale qualificato.
L’audit privacy è l’evidenza oggettiva di conformità dell’azienda agli adempimenti richiesti e consente agli organi di controllo interni ed esterni all’ azienda (ad es. Garante Privacy) di ottenere l’evidenza dello stato di salute del “sistema di protezione dei dati personali”.
Il processo di audit permette di evidenziare eventuali situazioni critiche o prassi errate nel trattamento dei dati personali e indicare/ipotizzare/suggerire le soluzioni più opportune da adottare.
Isfid Prisma è a Vs disposizione per
- Predisposizione di un percorso di adeguamento al Regolamento Europeo 2016 / 679 (RGPD) e al Decreto Legislativo 10 agosto 2018 n. 101 sul trattamento dei dati;
- Assistenza annuale e monitoraggio periodico tramite audit delle misure di sicurezza implementate che comprende le verifiche e gli audit secondo il Regolamento Europeo 2016 / 679 (RGPD) e Decreto Legislativo 10 agosto 2018 n. 101 sul trattamento dei dati.
Per maggiori informazioni contattare:
- Giovanna Favarato giovanna.favarato@isfidprisma.it; cell.329.5906007
- Manuela Daniel manuela.daniel@isfidprisma.it cell. 329.0509608