REGOLAMENTO UE 2016/679 – GDPR (General Data Protection Regulation)

Protezione delle persone fisiche con riguardo al trattamento dei dati personali (privacy).

Con l’approvazione da parte del Parlamento, della Commissione e del Consiglio della UE (c.d. trilogo), il pacchetto di riforma sulla tutela dei dati personali GDPR (General Data Protection Regulation – Regole generali per la protezione dei dati), presentato dalla Commissione Europea nel 2012, ha terminato il suo iter di negoziati a Dicembre 2015, e nuovo il testo definitivo del Regolamento è entrato in vigore a Maggio 2016 per divenire direttamente applicabile in tutti gli Stati membri della Comunità Europea senza necessità di recepimento o altri adempimenti formali a decorrere dal 25 Maggio 2018, data in cui Aziende, Enti e Pubbliche amministrazioni dovranno essere conformi alle nuove regole.

In particolare l’Art. 30 del Regolamento europeo in materia di protezione dei dati personali riguarda una delle novità e, al contempo, uno degli adempimenti più importanti concernenti le attività di trattamento. Per rendersene conto valga il par. 4 dell’Art. 30, per il quale “su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.

È così costituito in capo al Titolare del trattamento dei dati un obbligo di documentazione della conformità della propria organizzazione alle prescrizioni del Regolamento. Obbligo che grava anche sul DPO (Data Protection Officer – Responsabile della protezione dei dati), per i trattamenti che questi svolga per conto di un titolare.

L’obbligo di redazione e adozione del registro non è, tuttavia, generale. Il par. 5 dell’Art. 30 specifica che esso non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

Sostanzialmente basta, a esempio, conservare copie di carte di identità per incorrere in tale obbligo.

La redazione del Registro – non ricondotta a mero obbligo – dovrebbe ispirarsi alle seguenti ulteriori finalità:

  1. rappresentare l’organizzazione sotto il profilo delle attività di trattamento a fini di informazione, consapevolezza e condivisione interna;
  2. costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati, tesa a garantire la loro integrità, riservatezza e disponibilità.

Cosa propone Gesta:

  • DATA PROTECTION GAP ANALYSIS
  1. esame e censimento tipologie di dati personali, di interessati, di finalità, di tempo di conservazione dei dati
  2. censimento flussi di dati interni ed esterni
  3. esame dei documenti e contratti rilevanti ai fini dell’adeguamento normativo al Regolamento
  4. censimento rischi ed effettuazione Valutazione d’impatto sulla protezione dei dati (DPIA)
  5. verifica della necessità designazione RDP
  6. tenuta Registro attività di trattamento.

Al termine delle attività verrà consegnata una relazione con un elenco di tutte le attività svolte, valutazione della loro adeguatezza normativa ed interventi eventuali da realizzare.

Per informazioni 0187 564442 e gesta@gestaconsulenza.it

X