Italy

Legal

Adeguamento al GDPR in Aon - La tutela dei dati personali

A partire dal 25 maggio 2018, è entrato in vigore il Regolamento Generale sulla Protezione dei Dati (GDPR) dell'Unione Europea avente ad oggetto:

  • la protezione delle persone fisiche con riguardo al trattamento dei dati personali
  • le norme relative alla libera circolazione di tali dati.

In Italia la tutela dei dati ha origini risalenti. Infatti, con il Decreto legislativo 30 giugno 2003, n. 196 è stato introdotto il «Codice in materia di protezione dei dati personali». La norma in menzione è stata oggetto di novella con il recente Decreto legislativo n. 101 del 2018, rendendo il Codice della Privacy compatibile col Gdpr. I principi introdotti dal Regolamento sono l’approccio basato sul rischio, l’accountability, la privacy by design e by default, la proporzionalità.

Risk-based approach

Il GDPR prevede un approccio risk-based. Viene, infatti, definita la necessità per le imprese di valutare i rischi sottesi alle attività di trattamento quale prerequisito per l’individuazione delle idonee misure tecniche ed organizzative per la protezione dei dati personali.

Nel caso in cui il trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, è inoltre richiesta una specifica valutazione d’impatto sulla protezione dei dati (DPIA, acronimo di “Data Protection Impact Assessment”), che mira a valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di individuare le misure di sicurezza idonee ad affrontarli sulla base del rischio e dei costi di attuazione.

Il GDPR suggerisce le seguenti misure di sicurezza per ridurre i rischi:

  • pseudonimizzazione
  • crittografia
  • resilienza dei sistemi

Accountability

Il GDPR prevede che il Titolare del trattamento debba mettere in atto (nonché riesaminare ed aggiornare) adeguate misure tecniche e organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina.

Privacy by design e privacy by default

Il GDPR prevede l’obbligo di assicurare che le misure adottate attuino efficacemente:

  • principi di privacy by design (ad esempio, la protezione dei dati fin dalla progettazione)
  • privacy by default (ad esempio, l’impostazione predefinita che preveda il trattamento dei soli dati necessari al perseguimento delle finalità)

Proporzionalità

Il GDPR richiede il rispetto del principio di proporzionalità, secondo il quale i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Diritti degli Interessati

Il GDPR ha introdotto i seguenti diritti azionabili dagli interessati:

  • diritto di accesso: l’interessato ha il diritto di ottenere dal titolare del trattamento conferma riguardo l’esistenza di trattamenti dei dati personali che lo riguardano, e in caso affermativo di accedervi
  • diritto all’Oblio: il Titolare del trattamento deve garantire all’interessato la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo
  • diritto di Rettifica: l'interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo, tenendo conto delle finalità del trattamento
  • Diritto di limitazione al trattamento: l’interessato ha il diritto di ottenere il blocco del trattamento dei propri dati in caso di violazione dei presupposti di liceità. In tal caso, il trattamento è limitato alla sola conservazione
  • Diritto di opposizione: l’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano, compresa la profilazione sulla base di tali disposizione
  • Portabilità dei dati: l’obbligo di garantire all’interessato la trasmissione diretta dei dati personali da un Titolare all’altro, se tecnicamente fattibile, senza impedimenti

Il Gruppo Aon ha implementato le misure richieste dalla normativa vigente in materia di protezione dei dati.
Fra le attività poste in essere:

  • Nomina del Data Protection Officer (Dpo) o Responsabile della protezione dei dati (Rpd) del Gruppo Aon, contattabile all’indirizzo e-mail: [email protected]
  • È stato creato un team multidisciplinare di supporto (c.d. Privacy Team) per gestire gli adempimenti previsti dalla normativa
  • È stata creata una rete di referenti interni formati in materia di privacy per ciascuna linea di business (c.d. Privacy Champion)