L’entrata in vigore del GDPR (25 maggio 2016, ma applicazione in Italia nel maggio 2018), rappresenta una sfida per qualsiasi soggetto giuridico che tratta dati personali di altre persone. Il nuovo Regolamento Europeo relativo alla protezione dei dati personali, Regolamento UE n. 2016/679, è una fonte del diritto europeo che produce effetti immediati in tutti gli Stati membri, senza che sia necessaria l’emanazione da parte dei singoli Stati di una normativa di recepimento. Ciò significa che tutti i soggetti giuridici che, all’interno del territorio dell’Unione Europea, trattano dati personali (aziende, gli enti, le associazioni ecc..) devono rispettare il GDPR.
Il GDPR (General Data Protection Regulation) è un regolamento europeo che è entrato definitivamente in vigore lo scorso 25 maggio 2018 e che introduce una nuova normativa che disciplina il trattamento dei dati personali e la materia della privacy. Esso si applica in tutte le ipotesi in cui venga posto in essere un trattamento di dati personali; non esistono, dunque, categorie di soggetti giuridici esentati dal rispetto del GDPR. Le aziende, in particolare, devono rispettare il GDPR nel trattare dati personali indipendentemente dalla loro dimensione, siano esse piccole, medie o grandi, con differenze nell’applicazione pratica della normativa.
Il GDPR si fonda sul principio di accountability, ovvero il titolare del trattamento dei dati deve essere in grado di dimostrare di essere in regola con gli adempimenti previsti dal nuovo regolamento, ispirati ai principi della liceità, trasparenza e correttezza.
Possiamo sintetizzare come di seguito le attività da porre in essere per poter adeguare il trattamento dei dati che avviene in azienda con quanto richiesto dalla normativa europea e nazionale come modificata dal GDPR:
1. Gap Analysis: analisi dei trattamenti e delle misure di sicurezza adottate, per comprendere “quanta strada” c’è da fare prima che l’azienda possa considerarsi GDPR compliant;
2. Implementazione delle misure di sicurezza necessarie e adeguamento dei sistemi legali ed IT;
3. Aggiornamento continuo, attraverso un assessment almeno annuale.
Le azioni da intraprendere per portare a termine con successo il processo di adeguamento al GDPR in tutte le fasi riguardano tre aspetti fondamentali:
- Aspetto Formale/Legale: revisione delle informative privacy, adeguamento delle policy dipendenti, adozione del registro dei trattamenti, incarico ai Responsabili esterni dei Trattamenti, eventuale nomina del DPO, regolamentazione del trasferimento all’estero dei dati, esame dei contratti con fornitori e clienti ecc.;
- Aspetto Organizzativo: progettare ed organizzare procedure conformi al GDPR ed alle finalità di trattamento;
- Aspetto IT: adeguare le infrastrutture affinché garantiscano l’adempimento dei nuovi obblighi in materia di privacy.