GDPR ed il giorno del giudizio


Il fatidico 25 maggio alla fine è passato da qualche mese oramai e sicuramente qualche difficoltà nell’applicazione del regolamento c’è stata. Poi è probabile che l’attuazione da parte di molte attività non sia molto ad hoc

Tempo di lettura: 7 minuti



Negli ultimi tempi l’applicazione del GDPR è stata al centro dell’attenzione, soprattutto per permettere agli Stati (e di riflesso alle aziende che si occupano di trattamento di dati personali) di arrivare il più preparati possibile a questa data.

Tanti, infatti, erano gli adempimenti a cui dare attuazione: nomina del DPO, modifica dell’informativa, adeguamento del consenso, modifica del registro dei trattamenti, data breach, etc.

Tuttavia, il tempo a disposizione non era poco (ci sono stati ben due anni per mettere a punto questi adempimenti). Inoltre, bisogna anche dire che per le piccole e medie imprese, i piccoli professionisti o artigiani, non hanno avuto l’affanno delle grandi aziende, essendo previsti nei loro confronti, meno obblighi.

GDPR e le difficoltà aziendali

GDPR e le difficoltà aziendali

Sicuramente le difficoltà maggiori sono state incontrate d tutte quelle aziende che erano già carenti sotto il profilo privacy, mentre per tutte le altre, che rispondevano già a criteri di protezione dei dati più accurati, si è trattato più che altro di accorgimenti e modifiche di alcune regole.

Abbiamo già avuto modo di vedere come una delle cose più importanti sia quelli di adeguare l’informativa: il GDPR è intervenuto in tema di “informativa e del consenso al trattamento dei dati”, disponendo nuove regole volte a garantire una perfetta informazione dei soggetti interessati, affinché il consenso sia sempre libero, specifico, informato e inequivocabile. Pertanto, nel redigerla è necessario seguire i criteri indicati dagli artt. 12 e seguenti del GDPR.

Anche tutti i servizi offerti on line, presuppongono un necessario adeguamento dell’informativa, attenendosi ai cd. formati multistrato, al fine di ottenere informative distinte per tipologia di trattamento e di conseguenza consensi liberi, specifici ed informati.

Tra le novità introdotte dal regolamento si ritrova l’introduzione di un nuovo obbligo documentale in capo al titolare ed al responsabile del trattamento, avente ad oggetto la redazione e tenuta del c.d. “Registro generale delle attività di trattamento”.Tale previsione è una delle varie esplicitazioni del principio di responsabilizzazione (accountability) di titolari e responsabili, che è una delle grandi novità introdotte con il GDPR.

È per questo che, così come detto anche Garante per la privacy, seppur l’obbligatorietà di tenuta di questo registro è limitata a specifici casi previsti dall’art. 30 del GDPR, sarebbe opportuno che tutti i titolari del trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, si dotassero di tale registro.

Altro adempimento da mettere appunto è la predisposizione di una procedura e di un modello per la notifica al garante nel caso di Data Breach: è previsto l’obbligo, in capo al titolare del trattamento, di comunicare eventuali violazioni di dati personali all’ Autorità Garante e, in alcuni casi, anche ai soggetti interessati. È fondamentale, per le aziende adoperarsi per garantire il corretto funzionamento di questo meccanismo.

Bisogna anche verificare delle condizioni di liceità dei trattamenti e delle fattispecie per cui è necessario richiedere il consenso (infatti, all’art.6 sono previsti casi in cui il consenso non è necessario).

Ci sono adempimenti poi, come la DPIA, la consultazione preventiva con riferimento a situazioni di maggiore complessità come profilazioni automatiche, sorveglianze sistematiche di un certo livello, trattamento su larga scala di dati particolari o giudiziari sempre condotti con l’ausilio di strumenti informatici, che sicuramente sono più invasivi e meritano di essere preparati con una maggiore attenzione.

LEGGI ANCHE: Il GDPR, solamente un costo per le aziende o vera utilità?

Data Protection Officer

Tra i principali obblighi previsti dal nuovo regolamento europeo sulla privacy c’è quello, per alcune società, di adeguare il proprio organigramma privacy inserendo all’interno dello stesso la figura del DPO, acronimo di Data Protection Officer, ovvero il responsabile della protezione dei dati personali.

Il DPO è una figura professionale con particolari competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi e dotato di conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Il compito principale del DPO è l’osservazione, la valutazione e la gestione del trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy.

Per quanto riguarda gli enti pubblici, è da tempo il Garante ha indicato quali siano gli adempimenti da porre in essere con maggiore rapidità; pur tuttavia, nonostante gli sforzi dell’Autorità volti a sensibilizzare il settore pubblico non sembra ci sia stata particolare attenzione.

Accorgimenti utili per l'adeguamento al GDPR

Piccoli accorgimenti possono fare la differenza in questo processo di adeguamento:

  • prestare attenzione a consulenze troppo economiche e convenienti.
  • nel caso si decida di utilizzare specifici software non credere che il software possa sostituire totalmente il titolare o responsabile del trattamento.
  • valutare accuratamente gli schemi e i modelli presenti in rete sui vari adempimenti (informative, contratti con responsabile esterno, contratti di contitolarità, consensi, contratti di servizi per DPO).
  • cercare di adeguare le regole alla propria concreta realtà, senza incorrere in semplificazioni o in generalizzazioni relative a determinate categorie professionali o esercizi commerciali.
  • concepire un proprio modello organizzativo con riferimento alla tematica della protezione dei dati personali, definendo anche i ruoli delle varie figure soggettive rilevanti.

Clicca su Mi piace!


Categoria

Privacy

ARTICOLI CONSIGLIATI


Scopri nel video come gestire al meglio il tuo studio legale


La registrazione è stata effettuata, a breve verrà verificata dallo staff.

Riceverai l'email di accesso da cui potrai scaricare LEGALDESK.

Ora verrai rediretto alla home page.