GDPR: le principale regole da adottare entro il 28 Maggio 2018

A partire dalla data fatidica del 25 maggio, ogni azienda, qualunque sia la dimensione, è chiamata a individuare un Responsabile della protezione dei dati.

Notifica delle violazioni di dati personali
 

Occorre fare in fretta perché il 25 maggio entra in vigore il nuovo regolamento europeo sul trattamento dei dati personali e la tutela della privacy in ambito professionale. Occorre stare attenti a non farsi trovare impreparati perché le aziende sono chiamate ad adottarne le direttive senza eccezioni. Si tratta più precisamente del GDPR (General Data Protection Regulation), pensato per restituire ai cittadini europei il pieno controllo sui propri dati personali. Ogni azienda, come vedremo a breve, è chiamata a individuare un Responsabile della protezione dei dati. Diventa quindi necessario procedere alla tutela dei dati mediante impiego di crittografia per renderli non fruibili a soggetti non autorizzati.

La novità del diritto alla portabilità dei dati

Si tratta di uno dei nuovi diritti previsti dal regolamento, anche se non è del tutto sconosciuto ai consumatori. Il diritto alla portabilità dei dati non si applica ai trattamenti non automatizzati e sono previste specifiche condizioni per il suo esercizio. Sono portabili solo i dati trattati con il consenso dell'interessato o sulla base di un contratto stipulato con l'interessato e solo i dati che siano stati forniti al titolare. Di più: è bene sapere che il titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall'interessato, ovviamente se l'operazione è tecnicamente possibile.

Notifica delle violazioni di dati personali

A partire dalla data fatidica del 25 maggio, tutti i titolari devono notificare all'Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque senza ingiustificato ritardo, ma solo se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. Di conseguenza, la notifica all'Autorità dell'avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta sempre al titolare. Se la probabilità di questo rischio è elevata occorre informare della violazione anche gli interessati, sempre senza ingiustificato ritardo.

Anche la designazione di un responsabile della protezione dati (Rpd ovvero Dpo se si utilizza l'acronimo inglese che sta per Data protection officer) riflette l'approccio di responsabilità del regolamento, essendo finalizzata a facilitare l'attuazione del regolamento da parte del titolare. Non è un caso che fra i compiti dell'Rpd rientrino la sensibilizzazione e la formazione del personale e la sorveglianza sullo svolgimento della valutazione di impatto. La sua designazione è obbligatoria in alcuni casi e il regolamento tratteggia le caratteristiche soggettive e oggettive di questa figura: indipendenza, autorevolezza, competenze manageriali.