28Nov2017

Viale Pasteur n. 10, Roma

Il trattamento dei dati personali nelle aziende del settore turistico

Orario: 9:00 - 13:00

Federturismo, sala convegni

Viale Pasteur n. 10, Roma

Cosa prevede la nuova disciplina dei dati personali

Le aziende utilizzano ogni giorno notevoli quantità di dati per le finalità connesse all'attività esercitata e spesso non sanno che il trattamento è equiparato a gestioni a rischio elevato, come il trasporto di benzina, ed assoggettato alla disciplina dell'art. 2050 del Codice Civile: “Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”. In sede di giudizio, quindi, è il Titolare del trattamento a dover dimostrare di aver adottato ogni precauzione  affinché il danno non si verificasse.

Ecco perché una corretta analisi del trattamento operato nell'ambito dell'attività aziendale, dei flussi documentali, dei sistemi informativi, degli archivi e delle mansioni assegnate a ciascun operatore, con la relativa analisi dei rischi e delle contromisure, consente di valutare lo stato di salute dell'impresa e porre in essere eventuali azioni correttive o di miglioramento, necessarie a rispettare la normativa ed ottimizzare le risorse.

Il sistema di gestione del trattamento dei dati.

Occorre adottare una procedura analoga ai sistemi di gestione della qualità e della sicurezza sul lavoro. Il nuovo regolamento europeo, non a caso, fa espresso riferimento a sistemi di certificazione del trattamento e ai codici etici. Per questo, in attesa delle linee guida del gruppo dei Garanti Europei, l’attenzione degli operatori dev’essere rivolta ai sistemi di gestione delle informazioni secondo la norma ISO 27001, dal quale prende spunto la nuova ipotesi di standardizzazione dedicata ai dati personali

Cosa rischiano le aziende che non si adeguano

Il Regolamento Europeo 679/2016 è già vigore dal 25 maggio 2016 e le aziende pubbliche e private hanno ormai solo un anno di tempo per adeguarsi: dal 25 maggio 2018, infatti, sarà applicato in tutti gli Stati dell'Unione e, per eventuali violazioni, secondo l'art. 83, scatteranno sanzioni fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato annuo globale dell’anno precedente.

Chi è il Data Protection Officer (DPO)

 il Responsabile della Protezione dei Dati, un esperto che deve avere competenze giuridiche, informatiche e di analisi dei processi e dei rischi connessi al trattamento che, attraverso una serie di verifiche (audit) mirate e specifiche, indica il modo corretto di gestire i dati personali nel rispetto delle normative vigenti.

Quali aziende devono nominare il DPO

Tutte le aziende private che trattano dati personali su larga scala operando il monitoraggio regolare e sistematico degli interessati o che utilizzando dati che sono in grado di rivelare l'origine razziale o etnica, lo stato di salute, la localizzazione geografica, l'orientamento sessuale, le opinioni politiche o l'appartenenza a sindacati, le convinzioni religiose o filosofiche, oppure dati genetici e biometrici intesi a identificare in modo univoco una persona fisica.

Cosa cambia rispetto alla disciplina attuale

Il Regolamento Europeo disegna una logica di processo che sostituisce la precedente gestione documentale. Il trattamento dei dati deve essere considerato un processo aziendale in continua evoluzione, incentrato sulla valutazione della situazione esistente, sui possibili modelli di sviluppo e sulla formazione del personale.

Perchè la ISO 27001

Il sistema di gestione delle informazioni secondo la disciplina ISO 27001 è uno standard internazionale per la gestione della sicurezza informatica, applicabile a qualsiasi organizzazione, che definisce i requisiti per una corretta gestione della sicurezza delle informazioni in ambito aziendale.

Si tratta di un metodo che permette di garantire una sicurezza adeguata ai documenti in formato elettronico e alle banche dati aziendali, attraverso la gestione corretta delle reti e degli strumenti di comunicazione, assicurando anche la formazione del personale su rischi specifici come il phishing, i virus informatici, le frodi e il danneggiamento di programmi ed archivi.

La ISO 27001 è finalizzata a garantire una maggiore riservatezza delle informazioni, attraverso profili di autorizzazione che consentono di disciplinare gli accessi ai dati in base alle mansioni assegnate a singolo dipendente o a gruppi di dipendenti. Integrità e disponibilità delle informazioni sono gli ulteriori obiettivi perseguiti dalla norma, che tende a garantire la business continuity e ad evitare ripercussioni sull'attività dell'azienda in caso di incidente informatico.

Focus sul nuovo regolamento europeo 679/2016
Tag:             

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *