GDPR: i 5 punti da cui partire per adeguarsi al nuovo Regolamento europeo
Manca meno di un anno all’entrata in vigore del nuovo GDPR. Cosa devi sapere?
Il 25 maggio 2018 è il termine ultimo per adeguarsi al nuovo Regolamento europeo per il trattamento dati (2016/679). Si tratta di un percorso complesso e articolato, ma in estrema sintesi si possono definire cinque punti per pianificarlo al meglio.
1) In primis, al fine di censire in maniera dettagliata e completa le operazioni di trattamento effettuate entro l’azienda, dovrà essere predisposto il Registro dei trattamenti. Il Registro dovrà essere redatto tenendo conto degli obblighi previsti dall’art. 30 del GDPR, ma potrà contenere anche elementi ulteriori, per esempio l’elenco degli applicativi software utilizzati.
2) In secondo luogo occorrerà procedere con la stesura/modifica della documentazione da utilizzare. Per esempio le informative andranno aggiornate inserendo gli ulteriori elementi previsti dal Regolamento, mentre altri documenti – per esempio l’eventuale atto di nomina del Data Protection Officer – dovranno essere redatti ex novo.
3) Sarà importante poi definire le policy di sicurezza ed effettuare la valutazione dei rischi. Tale fase comprende l’analisi delle misure tecniche ed organizzative da adottare, tenendo conto dell’obbligo imposto in capo al Titolare di garantire ed essere in grado di dimostrare che il trattamento è effettuato in conformità al GDPR (“accountability”).
4) Inoltre, l’onere in capo al Titolare di comunicare all’Autorità Garante tutte le violazioni di dati personali che si siano verificate (“Data Breach”) presuppone che all’interno dell’azienda siano definite delle procedure al riguardo, che siano idonee a scoprire eventuali violazioni verificatesi, generare un’adeguata reportistica e individuare le conseguenze che dalle stesse derivano.
5) Un elemento cruciale nel processo di adeguamento al GDPR è anche la valutazione d’impatto di ogni trattamento sulla protezione dei dati personali. La stessa andrà compiuta nei casi specificamente previsti dal Regolamento e in particolare in quelli in cui vengano compiute operazioni di trattamento definite “rischiose”, per esempio basate su tecnologie molto innovative (black box nelle automobili, smartband, ecc.). Il GDPR comunque non specifica quali trattamenti debbano ritenersi a rischio, per cui sarà onere del Titolare compiere una valutazione caso per caso, tenendo conto anche delle indicazioni pratiche fornite dalle linee guida del gruppo di lavoro WP29 dell’Unione Europea.
È quindi evidente che il GDPR pone un cambio di prospettiva rispetto alla disciplina della privacy previgente, non contenendo più meri oneri burocratici ma imponendo, al contrario, di considerare la data protection come parte integrante e quotidiana di tutti i processi aziendali.