Il Regolamento EU 2016/679 è vigente dal 24 maggio 2016, e diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018; entro tale data tutti i titolari di trattamento – aziende, professionisti, enti pubblici – dovranno adeguare il loro Sistema di Gestione Data Protection alla nuova normativa europea.
Gli adempimenti principali previsti dal Regolamento EU 2016/679 sono:
- Formazione: l’azienda deve organizzare delle brevi sessioni formative per tutte le figure che ricoprono i ruoli apicali. E’ necessario che le persone chiave della struttura organizzativa del titolare siano consapevoli dell’impatto che avrà il Regolamento e delle attività da svolgere.
- Nomina del Responsabile della Protezione dei dati (RPD): l’azienda deve valutare se nominare, o ritiene opportuno nominare, il Responsabile della protezione dati. In caso affermativo è necessario individuare la persona o la società (interna o esterna) che dovrà svolgere tale funzione (c.d. RPD).
- Censimento delle attività di trattamento: l’azienda deve fare un nuovo censimento delle attività di trattamento, deve documentare i dati personali trattati, individuare la base giuridica, verificare la durata della conservazione dei dati e i soggetti terzi ai quali vengono comunicati;
- Analisi dei rischi: l’azienda deve fare un’analisi dei rischi che gravano sui trattamenti;
- Misure di sicurezza <adeguate>: l’azienda deve adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, x art. 32 RGPD;
- Valutazione d’impatto: per i trattamenti che presentano un rischio elevato per i diritti e libertà delle persone fisiche, l’azienda deve effettuare un’analisi più approfondita e dettagliata la c.d. valutazione d’impatto (PIA);
- Registro delle attività di trattamento: l’azienda deve tenere un registro delle attività di trattamento che dovrà essere sempre aggiornato ex art 30 RGPD;
- Informative: deve essere aggiornato il contenuto delle informative;
- Responsabili: devono essere aggiornati i contratti con i Responsabili esterni;
- Esercizio dei diritti dell’interessato: l’azienda deve garantire e agevolare all’interessato l’esercizio dei suoi diritti ex artt 12 – 22 RGPD;
- Data breach: in caso di violazione dei dati il Titolare è tenuto alla notifica all’autorità di controllo ex artt. 33 e 34 RGPD;
- Audit interni: l’azienda deve programmare lo svolgimento di audit interni finalizzati a rilevare le situazioni di non conformità e successivamente a implementare le necessarie azioni correttive al fine di garantire la piena conformità al RGPD.