GDPR 2016/679: Il Registro dei Trattamenti
Dal 25 maggio 2018 si è applicato il nuovo Regolamento UE 2016/679 (cd. GDPR), che sostituisce la Direttiva CE sulla protezione dei dati (EC / 95/46), attualmente vigente, ed introduce nuove disposizioni giuridiche sui diritti per le persone, infatti estende la portata delle responsabilità per i responsabili del trattamento dei dati e incentiva l’adeguamento alla nuova normativa prevedendo sanzioni pecuniarie amministrative che, nei casi più gravi, raggiungono il 4% del fatturato annuale mondiale di un’organizzazione.
Il GDPR comporta una serie di cambiamenti significativi, pertanto si devono adeguare alla nuova normativa tutti coloro che trattano dati personali nell’ambito della loro attività lavorativa, e precisamente:
- Le aziende, a prescindere dalla loro dimensione;
- I liberi professionisti;
- Le pubbliche amministrazioni;
- Le associazioni;
- Le cooperative.
Bisogna precisare che il nuovo Regolamento UE si applica anche a tutte le organizzazioni che a prescindere dalla loro collocazione geografica conservano informazioni relative ai propri clienti europei.
Il processo di adeguamento al GDPR si articola nelle seguenti fasi:
- Valutazione dello stato dell’organizzazione aziendale in merito al trattamento dei dati personali già raccolti e analisi della documentazione in uso;
- Individuazione dei ruoli e delle responsabilità dei soggetti che effettuano il trattamento, quindi bisogna indicare almeno il titolare ed il responsabile del trattamento;
- Eventuale individuazione e nomina di un Data Protection Officer (cd. DPO). La responsabilità principale di questa figura è quella di valutare e organizzare la gestione del trattamento di dati personali – e dunque la loro protezione – all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative europee e nazionali sulla privacy. Il DPO svolge non solo la funzione di supervisore interno, per dimostrare la conformità dei dati trattati rispetto alla normativa vigente, ma anche di agevolare la comunicazione relativa al trattamento dei dati sia verso il vertice dell’organizzazione sia verso l’esterno.
Inoltre, il DPO può essere sia interno che esterno all’azienda ma in ogni caso è una figura indipendente rispetto all’organizzazione. - Creazione del registro dei trattamenti. Si tratta di un documento volto a tenere traccia dei trattamenti effettuati da parte del titolare e degli eventuali responsabili, e contiene:
o le finalità del trattamento,
o le categorie di interessati e dei dati personali,
o i destinatari,
o gli eventuali trasferimenti verso Paesi terzi
o la durata del trattamento
o l’indicazione delle modalità di raccolta dei dati
o l’eventuale descrizione dell’attività di profilazione dei dati. - Definizione delle politiche di sicurezza e valutazione dei rischi. In questa fase bisogna procedere alla valutazione e all’attuazione di tutte le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR.
- Data Breach. In caso di accessi non autorizzati, perdita o furto di dati vi è l’obbligo di comunicare tempestivamente e, ove possibile, entro 72 ore sia agli interessati che alla competente autorità le suddette violazioni.
- DPIA: Valutazione d’impatto sulla protezione dei dati personali. Al fine di assicurare trasparenza nelle operazioni di trattamento dei dati personali e adeguata protezione agli stessi, la DPIA implica che il titolare effettui precise e adeguate valutazioni d’impatto. Attraverso tale istituto è possibile, di conseguenza, valutare gli aspetti relativi alla protezione dei dati, prima che questi vengano trattati.
- Generazione, stesura o modifica della documentazione contenente le risultanze dei punti precedenti, affinché sia completa ed aggiornata secondo le prescrizioni della nuova normativa.