Nuovo Regolamento UE GDPR

Il nuovo regolamento UE contiene disposizioni che richiedono un periodo di tempo propedeutico al recepimento dei nuovi adempimenti. Le principali nuove misure di sicurezza da adottare sono relative al Registro dei Trattamenti, Data breach, Informative, Analisi del Rischio dei trattamenti (DPIA). Il GDPR è operativo dal 25 Maggio 2018.

Dal 25 Maggio 2018 è in vigore il GDPR (General Data Protection Regulation) o RGPD per l’abbreviazione italianizzata del Regolamento UE 2016/679. 
Il 19 settembre 2018 è stato pubblicato il Dlgs n. 101 del 10 agosto 2018 che prevede l’adeguamento del Codice della Privacy Dlgs. 196/2003 al Regolamento UE GDPR n. 2016/679 abrogandone i primi 50 articoli.

Per chi contravviene alle nuove disposizioni sono previste sanzioni fino a 20 milioni di euro o al 4% delle entrate annuali, se superiore.

Adeguarsi al nuovo Regolamento UE comporta:

1. Documentare tutti i trattamenti di dati personali effettuati dall’ente o azienda, precisando per ciascuno di essi l’origine e la natura dei dati, le categorie di interessati, le modalità e le finalità di trattamento, i tempi di conservazione, nonché eventuali comunicazioni a soggetti terzi o diffusioni.
2. Revisionare le informative agli interessati, i moduli di consenso, le nomine a responsabile del trattamento, a incaricato del trattamento, le clausole per il “trattamento dei dati personali” nei contratti con i fornitori o dipendenti  e pianificarne l’adozione.
3. Definire un piano di conformità alle disposizioni – compliance –  che comprenda le valutazioni di impatto – DPIA, la revisione dei piani di audit, delle procedure e delle policy nonché piani di formazione.  
4. Mettere in atto, riesaminare ed aggiornare adeguate misure tecniche ed organizzative, per garantire e dimostrare che le operazioni di trattamento vengono effettuate in conformità alla nuova disciplina – accountability. Non sono più previste le “misure minime” da adottare, quali quelle contenute nell’Allegato B del Codice Privacy, ma è necessario individuare, caso per caso, le misure di protezione idonee, alla luce delle disposizioni previste dal Regolamento UE.
5. Progettare e sviluppare gli strumenti e i servizi tenendo conto della normativa in materia di protezione dei dati personali per consentire ai titolari del trattamento di adempiere agli obblighi prescritti dalla normativa – Privacy by design.
6. Nominare un Responsabile della Protezione dei Dati – RPD o Data Protection Officer – DPO in tutti gli Enti della pubblica Amministrazione e nelle imprese o in altre organizzazioni quando ricorrono le previsioni di cui all’articolo 37, lettere b) e c) del Regolamento UE.
   Ovverosia se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10 del Regolamento.
7. Revisionare i presupposti normativi sui quali si fondano i trattamenti dei dati personali e registrarli.
8. Definire le procedure  per la rilevazione, segnalazione e  indagine di violazioni di sicurezza – Data Breaches – entro   72   ore   dalla   conoscenza   dell’evento.   
9. Valutare   l’adozione   di   procedure   di pseudonimizzazione dei dati e l’uso della crittografia.