IL GDPR E' UN PESO
PER LA TUA ORGANIZZAZIONE?

Cominciamo con una buona notizia
Il GDPR disciplina la protezione dei dati personali ma anche la loro libera circolazione. Suona strano? Eppure sono parole testuali, forse non sufficientemente citate, del  Regolamento europeo n. 2016/679, conosciuto come GDPR. Ovviamente tale libera circolazione incontra il limite del diritto alla protezione dei dati personali degli interessati. Ma il punto è un altro. Il legislatore europeo ha voluto farci notare che è ben consapevole dell'importanza della circolazione dei dati personali nella cosiddetta New Economy, e che la tutela dei diritti civili non può strangolare le economie. Si tratta quindi di trovare un punto di equilibrio tra i due beni protetti dalla norma: il dato personale e la libera circolazione del dato stesso.

Da dove iniziare?

Pensiamo che i principali adempimenti del GDPR  possano essere riassunti in tre Principi da osservare e dieci Azioni da compiere (alcune solo ove ricorrano determinati presupposti). 

Tre principi fondamentali

Responsabilizzazione

Il Rregolamento Europeo introduce il principio di “responsabilizzazione”
("accountability" in inglese) di titolari e responsabili del trattamento, consistente
nell’ adozione di comportamenti proattivi finalizzati all'applicazione del Regolamento, al di là delle norme specifiche.

Privacy by design

Ogni operazione relativa al trattamento dei dati personali deve essere progettata insieme alle misure tecniche/organizzative idonee alla protezione dei dati personali .

Privacy by default

La protezione dei dati personali deve costituire l'impostazione predefinita di qualsiasi iniziativa volta al trattamento dei dati personali .
Dieci Azioni da compiere

Censimento dei trattamenti

Una prima operazione da compiere per rendere conforme l'organizzazione/azienda al GDPR: censire i trattamenti di dati personali in essere, annotandone alcune caratteristiche principali.

Informazioni agli interessati 

Ogni trattamento (salve rare e specifiche eccezioni) deve essere preceduto dalla comunicazione agli interessati delle informazioni circa alcune caratteristiche del trattamento stesso.

Raccolta del consenso

La base che rende legittimo un trattamento è normalmente il consenso dell'interessato. Esistono però altre basi giuridiche per cui il consenso non è richiesto.

Registro dei trattamenti

E' un documento (anche digitale) nel quale sono annotate le caratteristiche principali di tutti trattamenti in essere presso l'organizzazione/azienda. È obbligatorio solo quando il titolare/responsabile abbia più di 250 dipendenti ma è vivamente consigliabile a qualsiasi titolare.

Misure di protezione

Sono misure di protezione tecniche (come ad esempio la protezione dei pc con la password o la crittografia delle unità di memoria) ed organizzative (come la definizione di procedure aziendali) a tutela dei dati personali.

Valutazione di Impatto 

Si tratta di una procedura  eventuale, consistente nella valutazione dell'impatto di un trattamento sui diritti e le libertà personali degli interessati, necessario qualora questi possano essere messi in pericolo dal trattamento stesso.

Contratti 

Il GDPR stabilisce che il rapporto tra il Titolare del trattamento (quindi l'azienda/organizzazione quando determini i mezzi e le finalità del trattamento) e il Responsabile del Trattamento ( ossia il soggetto esterno all'azienda/organizzazione che esegue il trattamento per conto del titolare). Anche il rapporto tra contitolari dovrà essere contrattualizzato.

Data Breach

Si tratta diuna procedura eventuale, da attivare con urgenza nel caso in cui vi sia stata una violazione (minaccia alla disponibilità, integrità o riservatezza) dei trattamenti dei dati personali. In certi casi deve concludersi con una notifica all'Autorità Garante e agli interessati

Diritti degli interessati

Ogni titolare di trattamenti di dati personali deve essere in grado di rispondere prontamente ad eventuali richieste da parte degli interessati circa i propri dati personali.

Nomina del DPO

Il responsabile Della Protezione Dei Dati, conosciuto più comunemente con l'acronimo DPO (che sta per Data Protection Officer) è una figura che facilita l'attuazione del regolamento da parte dei titolari/responsabili dei trattamenti di dati personali. Ha compiti di sensibilizzazione, formazione del personale ma anche di sorveglianza. La sua designazione da parte dell'azienda/organizzazione è obbligatoria per gli organismi pubblici (ad eccezione di quelle giurisdizionali), nel caso in cui i trattamenti consistano nel monitoraggio regolare sistematico degli interessati su larga scala oppure nel trattamento su larga scala di dati particolari (cosiddetti "dati sensibili") o relativi a condanne penali.

Chi è costui?

L'entrata in vigore del GDPR ha rappresentato una ghiotta occasione per molte persone senza competenza, esperienza e preparazione specifica, che hanno visto spalancarsi un mercato in cerca di professionalità in grado di traghettare organizzazioni/aziende verso l'adeguamento normativo.
Purtroppo, consulenti impreparati possono fare danni, anche importanti.

Il suggerimento è di rivolgersi a professionisti di attestata competenza, formazione ed esperienza sia per quanto riguarda la mera consulenza relativa al GDPR, sia per quanto riguarda la protezione tecnico/organizzativa dei dati personali (ad esempio consulenti ITC).  

Location

Perilli law firm is located in the "legal district" of Rome, close to Civil and Criminal Courts.

Lo Studio Legale Perilli si trova nel "quartiere giudiziario" di Roma, nei pressi della Corte d'Appello Civile e del Tribunale Penale.

Social and Email:

    Contact request- Contattaci