A cura dell’avv. Simona Gallo *
L’applicazione del GDPR a partire dal 25 maggio porta con sé numerosi cambiamenti che richiedono un adeguamento da parte delle aziende.
Primo fra tutti, il GDPR prevede che i titolari ed i responsabili del trattamento, tengano un registro dei trattamenti dei dati. Tale registro deve contenere i dati di contatto del titolare (o del responsabile), se applicabile del cd. DPO e le informazioni relativi ai trattamenti effettuati (finalità, categorie di dati e di interessati, destinatari dei dati).
Il responsabile dovrà inoltre indicare i dati del titolare per cui effettua il trattamento L’obbligo di tenere il registro è previsto per le imprese con più di 250 dipendenti oppure in casi particolari. Il Garante privacy consiglia però a tutte le imprese di tenere un registro, utile per verificare i trattamenti svolte e come prova in caso di verifica da parte delle autorità. Principio cardine della riforma è infatti l’accountabilty, che impone di operare in modo responsabile e consapevole dei rischi inerenti il trattamento dei dati e di dimostrarlo.
Inoltre il GDPR prevede che i titolari e responsabili dispongano di misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato. Tali misure andranno valutate caso per caso tenendo conto sia dello stato dell’arte, che del rischio derivante trattamenti effettuati. Fra le misure indicate dal GDPR ci sono, fra le altre la pseudonimizzazione e cifratura dei dati e la capacità di assicurare la riservatezza dei sistemi.
Le società dovrebbero anche dotarsi di una c.d. procedura di data breach (ovvero di violazione dei dati). Infatti, in caso di data breach il titolare è tenuto ad inviare una notifica all’autorità garante entro 72 ore dalla sua scoperta e comunque senza indugio. Per poter rispettare questo termine è importante prevedere una procedura che indichi come procedere e chi sono i responsabili, per poter informare tempestivamente il Garante sull’evento, le possibili conseguenze e sulle misure già adottate o previste per porre rimedio alla violazione.
Il GDPR introduce inoltre la figura del cd. DPO (data protection officer). Si tratta di una figura che si occupa di vigilare sul rispetto delle norme sulla privacy, di mantenere i rapporti fra la società ed il Garante di prestare consulenza se necessario. I dati di contatto del DPO sono da comunicare al Garante nelle forme che ha indicato.
* partner di Jenny.Avvocati
