Cosa fare per adeguarsi al GDPR
Il 25 maggio 2018 è divenuto applicativo il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati del 24 maggio noto anche GDPR con l’acronimo inglese – General Data Protection Regulation
Il cambiamento è sostanziale e consiste nel diverso approccio alla materia
non più passivo nell’adozione di specifici adempimenti | ma pro-attivo alla valutazione delle misure più adeguate e pertinenti |
non più un aggiornamento annuale | ma costantemente in linea alle misure di sicurezza e alle autorizzazioni |
orientato alla salvaguardia dei diritti e delle libertà delle persone fisiche |
Di seguito 10 passi per la creazione di un MODELLO ORGANIZZATIVO volto alla protezione dei dati personali.
Prima di effettuare qualsiasi trattamento occorre informare l’interessato per mezzo dell’informativa e ottenere il consenso, ove obbligatorio, al trattamento.
Andranno mappati tutti i trattamenti effettuati nello svolgimento dell’attività, sia a livello informatico, che cartaceo; definita la finalità, per ognuno andrà analizzata la conformità ai principi del trattamento dei dati ai sensi dell’art. 5 del regolamento UE: Liceità – Correttezza – Trasparenza – Minimizzazione – Esattezza – Limitazione nella conservazione
Per ogni trattamento individuato, il regolamento ci chiede di analizzare i rischi cui sono sottoposti e di individuare adeguate misure per gestire il rischio e per tutelare i diritti degli interessati.
Il titolare è chiamato a dimostrare la conformità del trattamento al regolamento. Occorre rendicontare le scelte effettuate ed indicare le valutazioni fatte in merito, specificando il perché di alcune misure e non di altre. Tale resoconto sarà necessario per tutte le azioni compiute in ambito di trattamento e dovrà essere sempre in linea ai trattamenti e sempre disponibile.
Nuovi principi di cui tener conto.
Privacy by design: il titolare deve mettere in atto misure tecniche e organizzative adeguate sin dalla progettazione (di un prodotto o servizio).
Privacy by default: il titolare deve mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento
Quando un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche e se prevede in particolare l’uso di nuove tecnologie, il titolare del trattamento, prima di procedere al trattamento, deve effettuare una valutazione dell’impatto dei trattamenti sulla protezione dei dati personali, tenuto conto della natura, del contesto e delle finalità del trattamento. Precisazione del Garante sui soggetti obbligati
Figura nuova, svolge in parte attività̀ di consulenza e formazione ed in parte attività̀ di controllo. E’ tenuto ad avere conoscenza sul nuovo Regolamento e sugli atti interpretativi e competenze di natura tecnologia. In ragione dei suoi compiti di controllo, non può̀ essere in posizione di conflitto di interessi.
Il regolamento rafforza la tutela e i diritti riconosciuti all’interessato. Il titolare deve adottare misure appropriate che consentano di fornire tutte le informazioni all’interessato entro 1 mese dalla richiesta.
Occorre pertanto predisporre la modulistica e conformare i sistemi di interrogazione a che una richiesta possa essere evasa nell’arco dei tempi previsti.
I trasferimenti dei dati all’estero sono vietati a meno che si verifichino alcune garanzie. Il titolare del trattamento che faccia uso di servizi cloud dovrà essere a conoscenza di dove si trovano fisicamente gli archivi e valutare la presenza di standard di adeguatezza.
Il titolare del trattamento è obbligato a notificare al Garante la violazione dei dati personali (attacchi informatici, accessi abusivi, incidenti o eventi avversi) che presenta un rischio elevato per i diritti e le libertà delle persone fisiche, entro 72 ore dalla presa coscienza. Dovrà descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione o per attenuarne i possibili effetti negativi.
Se vuoi essere ricontattato via mail per qualsiasi informazione riguardo ai nostri servizi o delucidazioni in materia di privacy, inviaci un messaggio. Ti risponderemo quanto prima.