Dal 25 maggio è in vigore la nuova normativa in materia di protezione dei dati personali (GDPR).
Ecco un elenco dei passaggi più significativi necessari per rispondere alla nuova normativa e alle disposizioni contenute nel Regolamento UE 2016/679.
Ogni trattamento deve fondarsi sul rispetto dei principi di liceità, limitazione delle finalità e minimizzazione dei dati fissati nel Regolamento (artt. 5 e 6) e garantire agli interessati tutti i diritti previsti (artt. 13-22) tra i quali il diritto di accesso, rettifica, portabilità e cancellazione dei dati personali o limitazione del trattamento.
Ai titolari spetta il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, anche attraverso un apposito processo di valutazione (Data Protection Impact Assessment – DPIA) che tenga conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) necessarie per mitigare tali rischi.
Si tratta di uno strumento fondamentale per disporre di un quadro aggiornato dei trattamenti in essere. È obbligatorio per realtà aziendali con più di 250 addetti. Tuttavia, l’obbligo prescinde dal requisito dimensionale nel caso in cui i dati oggetto del trattamento possano presentare un rischio per i diritti e le libertà degli interessati, il trattamento non sia occasionale o includano dati sensibili, genetici, biometrici, giudiziari. I contenuti minimi sono indicati all’art. 30 del Regolamento. Deve avere forma scritta, anche elettronica, e va esibito su richiesta al Garante.
Il titolare e il responsabile del trattamento sono obbligati ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio del trattamento (con l’obiettivo di evitare distruzione accidentale o illecita, perdita, modifica, rivelazione, accesso non autorizzato). Ad esempio per trasferire, archiviare e ricevere informazioni dovrebbe impiegare tecnologie specifiche per rendere il dato anonimo e quando non è più necessaria la conservazione dei dati personali, gli stessi dovrebbero essere distrutti, cancellati o resi anonimi.
La designazione (in alcuni casi obbligatoria) di un DPO riflette l’approccio responsabilizzante del Regolamento. Fra i suoi compiti rientrano la sensibilizzazione e formazione del personale, la sorveglianza sullo svolgimento della valutazione di impatto, la funzione di punto di contatto per gli interessati e per il Garante per ogni questione attinente l’applicazione del Regolamento.