NF 5/2018 - Advisory services

Mentre siamo in attesa che si completi l’iter approvativo dello schema di decreto legislativo di armonizzazione dell'ordinamento italiano al regolamento UE sulla protezione dei dati (n. 2016/679), il 25 maggio 2018, data di piena operatività del GDPR, si sta velocemente avvicinando.

Abbiamo quindi ritenuto opportuno ricordare quali adempimenti dovranno prioritariamente essere eseguiti, possibilmente entra tale data.

Registro dei trattamenti

Il registro delle attività di trattamento è uno strumento utile e necessario non solo a dimostrare la conformità al GDPR, ma anche per avere un punto di raccolta centralizzato dei dati personali trattati nella propria organizzazione e delle caratteristiche di tali trattamenti.

Informative e richieste di consenso

In ottemperanza a quanto previsto dagli artt. 13 e 14 del Regolamento Europeo, le informative devono essere riviste, integrate con alcune informazioni (per esempio il periodo di conservazione dei dati) e, ove previsto, deve essere richiesto all’interessato il consenso al trattamento dei dati, quale uno degli elementi che garantiscono la liceità di un trattamento; la richiesta di consenso deve essere libera, specifica, inequivocabile, informata.

Data Protection Officer

La nomina del Data Protection Officer, di per sé facoltativa, diventa obbligatoria per le P.A. e per tutte quelle organizzazioni le cui attività principali consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
Per tali soggetti, il DPO diviene pertanto una funzione cruciale dell’impianto Privacy in azienda.

Nel caso in cui all’interno dell’organizzazione non vi sia una figura con tali competenze, il ruolo può essere esternalizzato sia ad una persona fisica sia ad una persona giuridica.

Questi sono solo alcuni dei requisiti da soddisfare; molte altre sono le novità introdotte dal GDPR (nuovi diritti ell’interessato, quale il diritto all’oblio, i concetti di privacy by default e privacy by design, la valutazione d’impatto, la notifica di eventuali data breach); una volta emesso il decreto legislativo di armonizzazione avremo quindi un quadro normativo completo cui tutte le imprese si dovranno adeguare.