Il nuovo regolamento pone con forza l’accento sulla “responsabilizzazione” dei titolari e dei responsabili dei dati, ovvero sull’adozione di un comportamento proattivo atto a dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.
Questa è una grande novità per quel che riguarda la protezione dei dati personali in quanto viene affidata totalmente al titolare il compito di decidere in modo autonomo le modalità, le garanzie ed i limiti del trattamento dei dati personali, nel totale rispetto delle disposizioni normative ed alla luce di alcuni criteri specificati nel regolamento.
La prima fra le novità dei criteri utilizzati per la nuova normativa per la protezione dati può essere sintetizzato in inglese “data protection by default and by design”.
Che consiste nella necessità di configurare il trattamento fin dall’inizio prevedendo le garanzie indispensabili al fine di soddisfare i requisiti della nuova normativa.
Tutto questo, chiaramente, deve avvenire a monte, ovvero prima di procedere al trattamento vero e proprio e richiede, pertanto, un’analisi preventiva ed un impegno applicativo da parte del titolare dei dati che devono sostanziarsi in una serie di attività specifiche e dimostrabili.
Sono fondamentali fra tali attività quelle connesse al secondo criterio individuato nel regolamento rispetto alla gestione degli obblighi dei titolari, ossia inerente il rischio del trattamento.
Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati; questi impatti dovranno essere analizzati attraverso un apposito processo di valutazione tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative che i titolare ritiene di dover adottare per mitigare tali rischi.
Al termine di questa valutazione il titolare potrà decidere se iniziare il trattamento consultando le autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l’autorità, in questo caso, dovrà indicare le ulteriori misure da adottare, da parte del titolare, per adempiere alla nuova normativa sul trattamento dei dati.
L’intervento delle autorità sarà principalmente “ex post” ovvero a seguito delle determinazioni assunte autonomamente dal titolare; ciò spiega l’abolizione dal 25 Maggio 2018 di alcuni istituti previsti dalla direttiva del 1995 e dal Codice Italiano, come la notifica preventiva dei trattamenti all’autorità di controllo ed il cosiddetto prior checking, sostituiti dall’obbligo di tenuta di un registro dei trattamenti da parte del titolare / responsabile dei dati.
Hai bisogno di aiuto?