Cosa fare per adeguarsi al GDPR

Il 25 maggio 2018 è divenuto applicativo il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati del 24 maggio noto anche GDPR  con l’acronimo inglese – General Data Protection Regulation

Il cambiamento è sostanziale e consiste nel diverso approccio alla materia

non più passivo nell’adozione di specifici adempimenti ma pro-attivo alla valutazione delle misure più adeguate e pertinenti
non più un aggiornamento annuale ma costantemente in linea alle misure di sicurezza e alle autorizzazioni
orientato alla salvaguardia dei  diritti e delle libertà delle persone fisiche

Di seguito 10 passi per la creazione di un MODELLO ORGANIZZATIVO volto alla protezione dei dati personali.

  1. Informative e consensi al trattamento

Prima di effettuare qualsiasi trattamento occorre informare l’interessato per mezzo dell’informativa e ottenere il consenso, ove obbligatorio, al trattamento.

  1. Mappatura dei trattamenti

Andranno mappati tutti i trattamenti effettuati nello svolgimento dell’attività, sia a livello informatico, che cartaceo; definita la finalità, per ognuno andrà analizzata la conformità ai principi del trattamento dei dati ai sensi dell’art. 5 del regolamento UE: Liceità – Correttezza – Trasparenza –  Minimizzazione – Esattezza – Limitazione nella conservazione

  1. Registro dei trattamenti

Per ogni trattamento individuato, il regolamento ci chiede di analizzare i rischi cui sono sottoposti e di individuare adeguate misure per gestire il rischio e per tutelare i diritti degli interessati.

  1. Rendiconto delle scelte – Principio dell’Accountability

Il titolare è chiamato a dimostrare la conformità del trattamento al regolamento. Occorre rendicontare le scelte effettuate ed indicare le valutazioni fatte in merito, specificando il perché di alcune misure e non di altre.  Tale resoconto sarà necessario per tutte le azioni compiute in ambito di trattamento e dovrà essere sempre in linea ai trattamenti e sempre disponibile.

  1. Privacy by Design e by default

Nuovi principi di cui tener conto.

Privacy by design: il titolare deve mettere in atto misure tecniche e organizzative adeguate sin dalla progettazione (di un prodotto o servizio).

Privacy by default: il titolare deve mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento

  1. (VIP) Valutazione di Impatto sulla protezione dei dati – (DPIA) Data protection impact assessment

Quando un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche e se prevede in particolare l’uso di nuove tecnologie, il titolare del trattamento, prima di procedere al trattamento, deve effettuare una valutazione dell’impatto dei trattamenti sulla protezione dei dati personali, tenuto conto della natura, del contesto e delle finalità del trattamento. Precisazione del Garante sui soggetti obbligati

  1. (DPO) Data Protection Officer – (RPD) Responsabile della protezione dei dati

Figura nuova, svolge in parte attività̀ di consulenza e formazione ed in parte attività̀ di controllo. E’ tenuto ad avere conoscenza sul nuovo Regolamento e sugli atti interpretativi e competenze di natura tecnologia. In ragione dei suoi compiti di controllo, non può̀ essere in posizione di conflitto di interessi.

  1. Diritti degli interessati

Il regolamento rafforza la tutela e i diritti riconosciuti all’interessato. Il titolare deve adottare misure appropriate che consentano di fornire tutte le informazioni all’interessato entro 1 mese dalla richiesta.

Occorre pertanto predisporre la modulistica e conformare i sistemi di interrogazione a che una richiesta possa essere evasa nell’arco dei tempi previsti.

  • Diritto di accesso
  • Diritto di rettifica
  • Diritto all’oblio
  • Diritto di limitazione
  • Diritto alla portabilità
  • Diritto di opposizione
  • Diritto di opposizione a sistema automatizzato
  1. Trasferimento dei dati all’estero

I trasferimenti dei dati all’estero sono vietati a meno che si verifichino alcune garanzie. Il titolare del trattamento che faccia uso di servizi cloud dovrà essere a conoscenza di dove si trovano fisicamente gli archivi e valutare la presenza di standard di adeguatezza.

  1. Data Breach – Violazioni di dati personali

Il titolare del trattamento è obbligato a notificare al Garante la violazione dei dati personali (attacchi informatici, accessi abusivi, incidenti o eventi avversi) che presenta un rischio elevato per i diritti e le libertà delle persone fisiche, entro 72 ore dalla presa coscienza. Dovrà descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione o per attenuarne i possibili effetti negativi.