Cosa fare per adeguarsi al GDPR
Il 25 maggio 2018 è divenuto applicativo il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati del 24 maggio noto anche GDPR con l’acronimo inglese – General Data Protection Regulation
Il cambiamento è sostanziale e consiste nel diverso approccio alla materia
non più passivo nell’adozione di specifici adempimenti | ma pro-attivo alla valutazione delle misure più adeguate e pertinenti |
non più un aggiornamento annuale | ma costantemente in linea alle misure di sicurezza e alle autorizzazioni |
orientato alla salvaguardia dei diritti e delle libertà delle persone fisiche |
Di seguito 10 passi per la creazione di un MODELLO ORGANIZZATIVO volto alla protezione dei dati personali.
- Informative e consensi al trattamento
Prima di effettuare qualsiasi trattamento occorre informare l’interessato per mezzo dell’informativa e ottenere il consenso, ove obbligatorio, al trattamento.
- Mappatura dei trattamenti
Andranno mappati tutti i trattamenti effettuati nello svolgimento dell’attività, sia a livello informatico, che cartaceo; definita la finalità, per ognuno andrà analizzata la conformità ai principi del trattamento dei dati ai sensi dell’art. 5 del regolamento UE: Liceità – Correttezza – Trasparenza – Minimizzazione – Esattezza – Limitazione nella conservazione
- Registro dei trattamenti
Per ogni trattamento individuato, il regolamento ci chiede di analizzare i rischi cui sono sottoposti e di individuare adeguate misure per gestire il rischio e per tutelare i diritti degli interessati.
- Rendiconto delle scelte – Principio dell’Accountability
Il titolare è chiamato a dimostrare la conformità del trattamento al regolamento. Occorre rendicontare le scelte effettuate ed indicare le valutazioni fatte in merito, specificando il perché di alcune misure e non di altre. Tale resoconto sarà necessario per tutte le azioni compiute in ambito di trattamento e dovrà essere sempre in linea ai trattamenti e sempre disponibile.
- Privacy by Design e by default
Nuovi principi di cui tener conto.
Privacy by design: il titolare deve mettere in atto misure tecniche e organizzative adeguate sin dalla progettazione (di un prodotto o servizio).
Privacy by default: il titolare deve mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento
- (VIP) Valutazione di Impatto sulla protezione dei dati – (DPIA) Data protection impact assessment
Quando un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche e se prevede in particolare l’uso di nuove tecnologie, il titolare del trattamento, prima di procedere al trattamento, deve effettuare una valutazione dell’impatto dei trattamenti sulla protezione dei dati personali, tenuto conto della natura, del contesto e delle finalità del trattamento. Precisazione del Garante sui soggetti obbligati
- (DPO) Data Protection Officer – (RPD) Responsabile della protezione dei dati
Figura nuova, svolge in parte attività̀ di consulenza e formazione ed in parte attività̀ di controllo. E’ tenuto ad avere conoscenza sul nuovo Regolamento e sugli atti interpretativi e competenze di natura tecnologia. In ragione dei suoi compiti di controllo, non può̀ essere in posizione di conflitto di interessi.
- Diritti degli interessati
Il regolamento rafforza la tutela e i diritti riconosciuti all’interessato. Il titolare deve adottare misure appropriate che consentano di fornire tutte le informazioni all’interessato entro 1 mese dalla richiesta.
Occorre pertanto predisporre la modulistica e conformare i sistemi di interrogazione a che una richiesta possa essere evasa nell’arco dei tempi previsti.
- Diritto di accesso
- Diritto di rettifica
- Diritto all’oblio
- Diritto di limitazione
- Diritto alla portabilità
- Diritto di opposizione
- Diritto di opposizione a sistema automatizzato
- Trasferimento dei dati all’estero
I trasferimenti dei dati all’estero sono vietati a meno che si verifichino alcune garanzie. Il titolare del trattamento che faccia uso di servizi cloud dovrà essere a conoscenza di dove si trovano fisicamente gli archivi e valutare la presenza di standard di adeguatezza.
- Data Breach – Violazioni di dati personali
Il titolare del trattamento è obbligato a notificare al Garante la violazione dei dati personali (attacchi informatici, accessi abusivi, incidenti o eventi avversi) che presenta un rischio elevato per i diritti e le libertà delle persone fisiche, entro 72 ore dalla presa coscienza. Dovrà descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione o per attenuarne i possibili effetti negativi.