Le principali novità introdotte dal regolamento UE 2016/679 sono il principio ed il concetto di “responsabilizzazione” che attribuisce ai titolari del trattamento il compito di assicurare ed allo stesso tempo di essere in grado di comprovare il rispetto dei principi applicabili al trattamento dei dati personali (art. 5).
La nuova disciplina impone alle amministrazioni l’obbligo di un diverso approccio nel trattamento dei dati personali, prevede nuovi adempimenti e richiede una intensa attività di adeguamento preliminare, sino alla sua definitiva applicazione a partire dal 25 Maggio 2018.
Al fine di fornire un primo orientamento, il Garante per la protezione dei dati personali suggerisce alle Amministrazioni Pubbliche di avviare il tutto con assoluta priorità.
#1 Designazione del Responsabile della Protezione dei Dati (RPD) – (art. 37, 38 e 39)
Il regolamento richiede che sia individuata questa nuova figura in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dei dati; essa costituisce il fulcro del processo di attuazione del principio di “responsabilizzazione”.
Il Responsabile della Protezione dei Dati (RPD) prevede il diretto coinvolgimento in tutte le questioni riguardanti la protezione dei dati personali, sin dalla fase transitoria, e deve essere garanzia di qualità del risultato del processo di adeguamento.
Sono da tenere in considerazione, inoltre, i requisiti normativi relativamente a:
- Posizione, si riferisce direttamente al vertice;
- Indipendenza, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti;
- Autonomia, attribuzione di risorse umane e finanziarie adeguate.
#2 Istituzione del Registro delle Attività di Trattamento (art. 30 e cons. 171)
E’ essenziale avviare la ricognizione dei trattamenti svolti e delle loro principali caratteristiche (finalità del trattamento, descrizione delle categorie di dati e interessati, categorie di destinatari di cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione ed ogni altra informazione che il titolare ritiene opportuna al fine di documentare le attività di trattamento svolte) funzionali all’istituzione del registro.
La ricognizione sarà l’occasione per verificare il rispetto dei principi fondamentali (art. 5), la liceità del trattamento (verifica dell’idoneità della base giuridica, art. 6, 9 e 10) nonché l’opportunità dell’introduzione di misure a protezione dei dati fin dalla progettazione e per impostazione (privacy by design e by default, art. 25), in modo da assicurare, entro il 25 Maggio 2018, la piena conformità dei trattamenti in corso (cons. 171).
#3 La Notifica delle Violazioni dei Dati Personali (cd. Data Breach, art. 33 e 34)
E’ fondamentale, nell’attuale contesto caratterizzato da una crescente minaccia alla sicurezza dei sistemi informativi ed informatici, una pronta attuazione delle nuove misure relative alle violazioni dei dati personali, tenendo in particolar considerazione i criteri di attenuazione del rischio indicati dalla disciplina ed individuando quanto prima idonee procedure organizzative per dare attuazione alle nuove disposizioni.
La normativa è in continuo aggiornamento, per le ultime novità in materia contattaci in chat o al nostro numero verde 800 621 247, o visita il sito del Garante della Privacy: www.garanteprivacy.it/regolamentoue
Hai bisogno di aiuto?