GDPR, il testo in PDF del nuovo regolamento UE. Principali novità e 12 cose da fare
Il nuovo Regolamento Europeo in materia di Protezione dei Dati Personali (2016/79) entrerà pienamente in vigore il 25 maggio 2018. Qui trovi il testo in PDF, le principali novità e una guida in 12 punti per adeguare la tua organizzazione.
Il nuovo Regolamento Europeo in materia di Protezione dei Dati Personali (2016/79) entrerà pienamente in vigore il 25 maggio 2018. Qui trovi il testo in PDF, le principali novità e una guida in 12 punti per adeguare la tua organizzazione.
Il Garante Privacy ha pubblicato sul suo sito una pagina informativa dedicata al Nuovo Regolamento UE (clicca qui per la pagina dedicata al Nuovo Regolamento UE sul sito del Garante Privacy).
Le principali novità
La principale novità introdotta dal regolamento è il principio di “responsabilizzazione” (cd. accountability), che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali (art. 5).
In quest’ottica, la nuova disciplina impone alle amministrazioni un diverso approccio nel trattamento dei dati personali, prevede nuovi adempimenti e richiede un’intensa attività di adeguamento, preliminare alla sua definitiva applicazione a partire dal 25 maggio 2018.
Al fine di fornire un primo orientamento il Garante per la protezione dei dati personali suggerisce alle Amministrazioni pubbliche di avviare, con assoluta priorità:
- Designazione del Responsabile della protezione dei dati – RPD (artt. 37-39)
Questa nuova figura, che il regolamento richiede sia individuata in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati, costituisce il fulcro del processo di attuazione del principio di “responsabilizzazione”. Il diretto coinvolgimento del RPD in tutte le questioni che riguardano la protezione dei dati personali, sin dalla fase transitoria, è sicuramente garanzia di qualità del risultato del processo di adeguamento in atto. In questo ambito, sono da tenere in attenta considerazione i requisiti normativi relativamente a: posizione (riferisce direttamente al vertice), indipendenza (non riceve istruzioni per quanto riguarda l’esecuzione dei compiti) e autonomia (attribuzione di risorse umane e finanziarie adeguate).
- Istituzione del Registro delle attività di trattamento (art. 30 e cons. 171)
Essenziale avviare quanto prima la ricognizione dei trattamenti svolti e delle loro principali caratteristiche (finalità del trattamento, descrizione delle categorie di dati e interessati, categorie di destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione, e ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte) funzionale all’istituzione del registro. La ricognizione sarà l’occasione per verificare anche il rispetto dei principi fondamentali (art. 5), la liceità del trattamento (verifica dell’idoneità della base giuridica, artt. 6, 9 e 10) nonché l’opportunità dell’introduzione di misure a protezione dei dati fin dalla progettazione e per impostazione (privacy by design e by default, art. 25), in modo da assicurare, entro il 25 maggio 2018, la piena conformità dei trattamenti in corso (cons. 171).
Fondamentale appare anche, nell’attuale contesto caratterizzato da una crescente minaccia alla sicurezza dei sistemi informativi, la pronta attuazione delle nuove misure relative alle violazioni dei dati personali, tenendo in particolare considerazione i criteri di attenuazione del rischio indicati dalla disciplina e individuando quanto prima idonee procedure organizzative per dare attuazione alle nuove disposizioni.
ICO, 12 passi da fare subito per prepararsi al Nuovo Regolamento UE
L’ICO, l’Autorità Garante per la Protezione dei Dati Personali del Regno Unito, ha pubblicato un’infografica in 12 step per indicare le azioni da intraprendere per prepararsi all’entrata in vigore del Nuovo Regolamento UE.
1) SENSIBILIZZAZIONE
Le persone chiave nell’organizzazione devono essere consapevoli che il GDPR sarà presto legge. Devono valutarne l’impatto e identificare le aree critiche ai fini della conformità.
2) QUALI DATI?
Documentate quali dati personali detenete, come li avete avuti e con chi li condividete. Se necessario, organizzate un apposito audit interno.
3) INFORMATIVA PRIVACY
Rivedete la vostra attuale informativa sulla privacy per adeguarla tempestivamente al nuovo regolamento.
4) LEGITTIMITÀ DEL TRATTAMENTO
Identificate nel GDPR lo scopo che legittima la vostra attività di trattamento dei dati personali, documentatelo e spiegatelo di conseguenza nella vostra informativa sulla privacy.
5) CONSENSO
Le norme per chiedere, registrare e gestire il consenso al trattamento dei dati personali sono molto stringenti. Provvedete ora ad aggiornare i consensi che già avete raccolto.
6) DIRITTI DELL’INDIVIDUO
Controllate che le vostre procedure rispettino tutti i diritti riconosciuti all’individuo. Da come cancellate i dati personali a come li rendete disponibili elettronicamente e in un formato di uso comune.
7) RICHIESTE DI ACCESSO
Aggiornate le procedure per tener conto delle nuove regole: risposta entro 1 mese; rifiuto motivato e completato con gli ulteriori diritti del richiedente.
8) MINORI
Considerate fin d’ora l’opportunità di introdurre il controllo dell’età e chiedere il consenso dei genitori o tutori a qualsiasi attività di trattamento dei dati dei minori.
9) VIOLAZIONI DEI DATI
Dotatevi delle tecnologie e procedure idonee per scoprire, notificare e analizza re una violazione dei dat i personali.
10) PRIVACY BY DESIGN E PIA
Il software, i sistemi e i processi devono essere progettati tenendo conto della protezione dei dati. Valutazioni PIA (Privacy lmpact Assessment) sono obbligatorie dove è alto il rischio di violazioni della privacy.
11) DATA PROTECTION OFFICER
Controllate se ricadete tra le strutture obbligate dal GDPR a nominare formalmente un DPO (Data Protection Officer). In ogni caso designate un responsabile interno della protezione dei dati.
12) INTERNAZIONALE
Le organizzazioni che operano in più stati della UE devono determinare qual è la loro principale autorità di supervisione alla protezione dei dati.
