Adempimenti GDPR

Pubblicato da Gio Lan il

-La videosintesi-

-Il commento testuale-

. Adempimenti: cosa è necessario fare e cosa non è più richiesto dal Regolamento

 

Non è possibile individuare in linea generale quali adempimenti siano richiesti ad un titolare: il principio di responsabilizzazione comporta che spesso sia il titolare stesso a dover decidere se svolgere determinate attività ai fini di assicurare il rispetto delle regole previste dal Regolamento.

 

Per quanto riguarda la governance occorrerà definire – anche attraverso la delega di funzioni – ruoli e responsabilità per la protezione dei dati all’interno dell’organizzazione aziendale. Occorrerà, in particolare, valutare la obbligatorietà o meno della nomina di un DPO, regolare contrattualmente i rapporti con gli eventuali contitolari, rivedere i criteri di selezione adottati per la nomina dei Responsabili del trattamento, sulla base dei criteri indicati dal Regolamento, e rivedere i contratti in essere, anche con riguardo alla eventuale nomina di sub-responsabili.

 

Occorrerà inoltre procedere alla predisposizione del registro dei trattamenti sulla base delle regole stabilite dal Regolamento.

 

In materia di consenso, sarà necessario rivedere ed integrare le Informative Privacy in conformità alle nuove prescrizioni del Regolamento nonché verificare che i consensi eventualmente già acquisiti riflettano i requisiti prescritti dal Regolamento e, in caso negativo, procedere alla acquisizione di un nuovo consenso.

 

Riguardo la valutazione d’impatto e la gestione di eventuali data breach, sarà opportuno sviluppare una procedura interna che disciplini i meccanismi di attivazione di una DPIA identificando in modo specifico ruoli e responsabilità nella effettuazione di una DPIA, sia con riguardo ai soggetti interni (funzioni aziendali coinvolte, DPO), sia con riguardo ai soggetti esterni (responsabili e consulenti). Inoltre, è consigliabile disporre di procedure interne per dare esecuzione agli obblighi di notificazione previsti in caso di data breach, predisponendo ad esempio un incident response plan.

 

Occorrerà inoltre rivedere le misure di sicurezza tecniche e organizzative, sulla base del livello di rischio, tenendo in considerazione stato dell’arte e costi di attuazione; natura, oggetto, contesto e finalità del trattamento; il rischio di  violazione  di diritti e libertà delle persone fisiche. Valutare la possibilità di utilizzare l’adesione ai codici di condotta o schemi di certificazione – che saranno emanati – per attestare l’adeguatezza delle misure di sicurezza adottate rispetto al livello di rischio.

 

Inoltre, al fine di garantire i diritti degli interessati, bisognerà predisporre procedure interne che garantiscano che i diritti degli interessati possano essere soddisfatti nei termini previsti dal Regolamento.

 

Attività di particolare rilievo ai fini del rispetto degli obblighi del Regolamento consisterà nel monitoraggio costante delle proprie attività di trattamento al fine di poter assicurare un costante aggiornamento dei meccanismi interni di compliance.

 

Sparisce, invece, l’obbligo di notifica dei trattamenti al Garante previsto dal Codice  Privacy in Italia.

Categorie: GDPR

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *