Nuovo regolamento privacy dal 25 maggio 2018 – GDPR

Il Regolamento EU 2016/679 è vigente dal 24 maggio 2016, e diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018; entro tale data tutti i titolari di trattamento – aziende, professionisti, enti pubblici – dovranno adeguare il loro Sistema di Gestione Data Protection alla nuova normativa europea.

Gli adempimenti principali previsti dal Regolamento EU 2016/679 sono:

1. Formazione: l’azienda deve organizzare delle brevi sessioni formative per tutte le figure che ricoprono i ruoli apicali. E’ necessario che le persone chiave della struttura organizzativa del titolare siano consapevoli dell’impatto che avrà il Regolamento e delle attività da svolgere.
2. Nomina del Responsabile della Protezione dei dati (RPD): l’azienda deve valutare se nominare, o ritiene opportuno nominare, il Responsabile della protezione dati. In caso affermativo è necessario individuare la persona o la società (interna o esterna) che dovrà svolgere tale funzione (c.d. RPD).
3. Censimento delle attività di trattamento: l’azienda deve fare un nuovo censimento delle attività di trattamento, deve documentare i dati personali trattati, individuare la base giuridica, verificare la durata della conservazione dei dati e i soggetti terzi ai quali vengono comunicati;
4. Analisi dei rischi: l’azienda deve fare un’analisi dei rischi che gravano sui trattamenti;
5. Misure di sicurezza <adeguate>: l’azienda deve adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, x art. 32 RGPD;
6. Valutazione d’impatto: per i trattamenti che presentano un rischio elevato per i diritti e libertà delle persone fisiche, l’azienda deve effettuare un’analisi più approfondita e dettagliata la c.d. valutazione d’impatto (PIA);
7. Registro delle attività di trattamento: l’azienda deve tenere un registro delle attività di trattamento che dovrà essere sempre aggiornato ex art 30 RGPD;
8. Informative: deve essere aggiornato il contenuto delle informative;
9. Responsabili: devono essere aggiornati i contratti con i Responsabili esterni;
10. Esercizio dei diritti dell’interessato: l’azienda deve garantire e agevolare all’interessato l’esercizio dei suoi diritti ex artt 12 – 22 RGPD;
11. Data breach: in caso di violazione dei dati il Titolare è tenuto alla notifica all’autorità di controllo ex artt. 33 e 34 RGPD;
12. Audit interni: l’azienda deve programmare lo svolgimento di audit interni finalizzati a rilevare le situazioni di non conformità e successivamente a implementare le necessarie azioni correttive al fine di garantire la piena conformità al RGPD.