Evento: GDPR europea, prodotti e servizi ICT: quali impatti e quali obblighi

Approvato definitivamente lo scorso 14 aprile dal Parlamento Europeo in sessione plenaria, il testo del Regolamento Europeo per la Protezione dei Dati è stato pubblicato lo scorso 4 maggio in Gazzetta Ufficiale. Un cambiamento radicale per l’assetto di ogni impresa. Dalla pubblicazione definitiva le aziende avranno due anni per familiarizzare con le nuove regole e con un impianto sanzionatorio completamente rinnovato e particolarmente severo; le sanzioni, infatti, potranno raggiungere cifre ragguardevoli, fino al 4% del fatturato globale mondiale annuo. Chiaramente è impellente un’adeguata preparazione. La round table Colin & Partners (28 giugno a Firenze) si incentrerà sugli obblighi spettanti agli sviluppatori di software o erogatori di servizi lato ICT.

La privacy by design e la privacy by default sono tra i concetti chiave della nuova regolamentazione europea. Si consideri il principio di privacy by design; nell’ambito dello sviluppo di soluzioni o prodotti di natura informatica da introdurre sul mercato UE, qualora sia rilevato un trattamento diretto o indiretto di dati personali, è necessario che il Fornitore tenga conto del principio di privacy by design e che il Controller garantisca il rispetto di esso sia nella fase di determinare i mezzi del trattamento sia durante il trattamento. Dunque, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi di varia probabilità e gravità, urge garantire misure tecniche ed organizzative adeguate.

Passando al principio di privacy by default, esso è contemplato nel caso in cui si scelga di implementare un prodotto o un servizio già in uso presso la realtà aziendale: imprescindibile la responsabilità del Controller di mettere in atto misure tecniche e organizzative adeguate per garantire che, rispetto all’implementazione, siano trattati di default solo i dati personali necessari per ogni specifica finalità del trattamento.

Ne consegue inevitabilmente un approccio nel proporsi sul mercato differente da parte dei Fornitori di soluzioni ICT e, qualora il prodotto/servizio risulti non conforme al Regolamento Europeo, la corresponsabilità con il Controller nella gestione di progetti e sviluppi. Nondimeno al Controller, e quindi al management della propria realtà, sarà richiesta particolare attenzione per gli aspetti contrattualistici con fornitori e Processors – soprattutto nel caso di trattamenti su commissione – che dovranno disciplinare anche i termini di data retention e le modalità di cancellazione sicura in caso di interruzione dei rapporti.

In conclusione, il radicale cambiamento conseguente l’approvazione del Regolamento Europeo può essere l’occasione per Fornitori e Processors di analizzare il proprio operato alla luce dei nuovi obblighi, di garantire al Cliente/Committente una compliance normativa alle origini del rapporto da instaurare o rinnovare, nonché di accrescere la propria competitività sul mercato.

Le principali tematiche:

• Obbligo di conformazione prodotti IT alla normativa;
• Obbligo conformazione data center alla normativa;
• L’impatto sui ruoli e le responsabilità delle figure aziendali coinvolte;
• Privacy by design e by default, quali obblighi per i fornitori ICT;
• Contrattualistica e portabilità dei dati;
• Sistema sanzionatorio e controlli.

Relatori

• Elisa Fontanelli, Consultant Colin & Partners
• Marco Parretti, Consultant Colin & Partners

Location ed orari

L’evento, la cui partecipazione è su invito, si svolgerà a Firenze, presso StarHotels Tuscany, Via di Novoli n. 59, il 28 giugno 2016, dalle ore 10.00 alle ore 12.00.