Privacy? E' necessario cooperare con l’autorità di controllo notificando qualsiasi violazione dei dati personali alla stessa e al diretto interessato.

Le organizzazioni hanno ancora poco tempo per conformarsi al nuovo regolamento 679/16.

Entro il 25 maggio 2018, tutte le aziende di Europa dovevano adeguarsi al nuovo REGOLAMENTO EUROPEO PRIVACY UE 2016/679.  

Viene richiesto a tutti anche di cooperare con l’autorità di controllo notificando qualsiasi violazione dei dati personali alla stessa e al diretto interessato. 

Poiché il GDPR sostituisce la normativa nazionale in materia di protezione dei dati personali, impattando anche sulle imprese con sede fuori dall’UE, è importante per tutti preoccuparsi di raggiungere una sufficiente conformità con il dettato normativo europeo.

Il primo punto fondamentale sarà quello relativo al consenso, da ottenere nei confronti dell’interessato al trattamento, sia per i dati che devono essere ancora raccolti, sia per quelli già in possesso. 

I dati già in possesso saranno oggetto di audit per verificare che rispettino il consenso. 

Il secondo punto riguarda l’obbligo di notifica, entro 72 ore, di ogni violazione dei dati (data breach), sia al DPO che agli interessati. 

Ogni azienda/organizzazione dovrà essere pronta ad eliminare i dati dell’interessato che ne faccia richiesta, sia perché i dati sono stati acquisiti illecitamente, sia perché lo permette la legge. 

Si dovranno quindi implementare sistemi che rispondano prontamente alle richieste di «essere dimenticati».

 La gestione del rischio dovrà costituire un processo integrato già dalla progettazione di una soluzione per assicurare la tutela dei dati personali (privacy by design), quando cioè la possibilità di eliminare eventuali minacce è più veloce, più efficace e meno onerosa. 

In determinate circostanze previste dal Regolamento, dovrà essere nominata la figura, rappresentata dal DPO, di un responsabile della protezione dei dati, da individuarsi sia tra i dipendenti dell’azienda, sia servendosi di consulenti esterni, esperti in materia. 

Sempre per specifici casi mandatori (seppur sia consigliato a tutti), ci si dovrà dotare di un registro delle attività di trattamento, distinto tra quello del Titolare e quello del o dei Responsabili. 

Tale documento dovrà essere aggiornato con frequenza, affinché rappresenti realisticamente l’attività svolta in azienda. Chi non si è adeguato al Regolamento UE 2016/679 prima dell'entrata in vigore (25/05/2018) non deve aspettare altro tempo!