GDPR 2018: guida completa al regolamento europeo in materia di protezione dei dati personali

Tecnologia

Il General Data Protection Regulation (GDPR 2018), ossia il Regolamento UE n. 679/2016 sulla protezione dei dati personali entrerà pienamente in vigore dal 25 maggio 2018, abrogando la Direttiva 95/46/CE. Tra le prime cose che sappiamo, è che il regolamento GDPR non vale per gli accordi di trasferimento di dati personali verso Paesi terzi e organizzazioni internazionali, conclusi prima dell’entrata in vigore del Regolamento.

Tali accordi saranno validi fino alla loro sostituzione, revoca o modifica, così come i provvedimenti dell’Autorità Garante e le decisioni della Commissione UE. Inoltre, nei confronti dei trattamenti ancora in corso al 25 maggio 2018, non c’è obbligo che l’interessato dia nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alla nuova disciplina.

Gdpr: le novità 2018 materia protezione dati personali

Innanzitutto il GDPR ribalta completamente la prospettiva della disciplina di riferimento, istituendo un quadro normativo tutto dedicato ai doveri e alla responsabilizzazione del Titolare del trattamento (principio di “accountability”).

Per prima cosa il regolamento pone l’accento su alcuni punti focali tra cui, il registro delle attività di trattamento, che deve avere una serie di informazioni,( tra cui le finalità del trattamento, la descrizione delle categorie di interessati e di dati personali che vengono trattati, oltre che l’indicazione delle misure di sicurezza adottate).

Senza poi dimenticare l’esigenza di elencare non solo la base giuridica del trattamento (ricompresa tra gli elementi che devono essere contenuti nell’informativa da consegnare all’interessato), ma anche gli applicativi e/o database utilizzati. Il che è importante per sapere con esattezza le misure di sicurezza implementate/da implementare, ai fini della valutazione dei rischi.

GDPR: chi è il DPO

Il Titolare del trattamento ha il diritto nominare un Data Protection Officer (DPO), ovvero una figura specialistica e altamente qualificata che abbia come scopo l’applicazione degli obblighi della nuova normativa, e funga da filtro/cuscinetto con le Autorità di controllo e gli interessati. La designazione del DPO è d’obbligo solo in taluni casi (trattamenti effettuati su larga scala, posti in essere da un’Autorità pubblica/organismo pubblico, o che ricomprendono categorie particolari di dati personali).

Ciò vuol dire che, l’ampia gamma di novità introdotte dal GDPR costringe a definire un piano di adeguamento alla nuova normativa, ponendo in essere le diverse funzioni aziendali coinvolte in operazioni di trattamento di dati personali.

Il primo passo dunque, nonché quello di maggiore importanza, è definire il registro dei trattamenti e il piano di adeguamento al GDPR. Questa fase prevede il bilanciamento del modello attuale dell’organizzazione, per poter poi definire un piano di azioni ben dettagliate e calate sulla realtà aziendale.

GDPR di cosa si occupa

Data l’ampiezza del perimetro di impatto del GDPR a livello aziendale, delineare il modello attuale necessita di un approccio strutturato e comprensivo di tutte le leve su cui si può agire in relazione all’obiettivo di adeguamento, quali:

  • Organizzazione e ruoli.
  • Persone, cultura e competenze.
  • Processi e regole.
  • Documentazione.

Da non tralasciare l’importanza che si dà alla Tecnologia e strumenti. Un punto focale tipico anche dal punto di vista di investimenti da mettere in cantiere sulla scia di un piano di adeguamento e che è strettamente correlato all’ambito di misure di sicurezza informatica (antivirus, disaster recovery, firewall, pseudonimizzazione dati, cifratura dati, prevenzione e rilevazione data breach, Identity Management, ecc.), ma anche di sicurezza fisica (es. controllo accessi), di adozione di tool IT GRC (Governance, Risk & Compliance).

Utile infatti è assumere un sistema di controllo atto alla progettazione e gestione di un cruscotto di KPI per poter andare a monitorare la compliance a normative esterne (es. GDPR), regolamenti interni, ma anche una progettazione di report ad hoc da mettere in attosu vari livelli dell’organizzazione.

È onere dell’azienda infine, scegliere se adeguarsi in senso stretto o cogliere l’opportunità di dare valore a tutta l’organizzazione nel suo complesso. Non può però non tener conto che il dato personale di clienti, dipendenti e soggetti opportunamente coinvolti nel ciclo produttivo e commerciale dell’azienda sia un asset importante per la trasformazione digitale del business. E da esso sono tante le possibilità positive che ne possono derivare. Pe maggiori info al riguardo puoi consultare le guide su Psbprivacyesicurezza.it.