Il GDPR introduce una serie di obblighi, che derivano essenzialmente dal piรน generale principio di responsabilizzazione (accountability) posto a fondamento della struttura del Regolamento europeo.
In particolare, come si รจ avuto modo di precisare in piรน occasioni in questo Speciale di approfondimento, il titolare e il responsabile del trattamento sono sotto diversi aspetti incentivati ad adottare una serie di provvedimenti finalizzati a dare concreta ottemperanza alle disposizioni del GDPR.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Si ricorda infatti che l’approccio che viene incoraggiato dal nuovo Regolamento europeo รจ focalizzato principalmente sulla concreta protezione dei dati ed รจ fondato su una valutazione preliminare del rischio (si parla per questo di sistemaย risk-based) a una volta basata su un’opportuna considerazione della natura, della portata, del contesto e delle finalitร del trattamento, sulla probabilitร e sulla gravitร dei rischi per i diritti e libertร degli utenti. In relazione a tale complessa e globale valutazione si determinerร poi la misura della eventuale responsabilitร del titolare e del responsabile del trattamento.
Un approccioย incentrato sul rischio ha sicuramente, da un lato, il vantaggio di pretendere l’ottemperanza di una serie di obblighi piรน generali che possono andare al di lร di una mera e superficiale conformitร al dettato normativo.
Dall’altro lato, si tratta sicuramente di un sistema che si presta ad una maggiore flessibilitร ed elasticitร , essendo in grado di adattarsi al mutamento delle esigenze e degli strumenti tecnologici. Infine, non di puรฒ ignorare che il fatto che un simile approccio deleghi sostanzialmente ai titolari ogni valutazione, si presenta come un’arma a doppio taglio: maggiore libertร di scelta, ma maggiore impegno da parte dei titolari e piรน difficile contestare eventuali provvedimenti sanzionatori da parte del Garante.
In conseguenza di ciรฒ, per poter essere in linea con le prescrizioni e gli obblighi sanciti dal GDPR, รจ necessario che le aziende realizzino una revisione completa dei dati e delle informazioni che raccolgono e che gestiscono, verificando anche quelle che sono le basi normative a giustificazione di tali trattamenti nonchรฉ le conseguenze che il trattamento dei dati effettuato puรฒ comportare per gli interessati.
Tra gli adempimenti che dovranno quindi essere realizzati troviamo:
la verifica dei dati che saranno oggetto di trattamento, con identificazione delle varie tipologie di dati e delle categorie di appartenenza e la verifica della finalitร di ogni trattamento e della base giuridica sul quale ciascuno di essi si fonda, anche al fine di rendere adeguata informativa ai soggetti interessati, come previsto dagli artt. 13 e 14 del GDPR;
la predisposizione dell’informativa (o il suo aggiornamento) che deve essere fornita agli interessati nel rispetto di tutti gli elementi indicati agli artt. 13 e 14 del GDPR, in particolare gli interessati dovranno essere messi a conoscenza dei diritti che il Regolamento riconosce loro (diritto di accesso, diritto all’oblio, diritto di rettifica, diritto di limitazione e di opposizione al trattamento, diritto alla portabilitร dei dati – sul punto si vedano le apposite sezioni dedicate dello Speciale);
la predisposizione del registro delle attivitร di trattamento dei dati personali, qualora esso risulti necessario in base al disposto dell’art. 30 del GDPR, ossia nel caso in cui l’impresa o l’organizzazione che effettua il trattamento dei dati abbia piรน di 250 dipendenti. Tale registro dovrร , del resto, essere redatto anche nel caso in cui l’impresa od organizzazione abbia meno di 250 dipendenti, ma ponga in essere un trattamento dei dati che presenta un potenziale rischio per i diritti e libertร degli interessati;
l’instaurazione di una procedura da adottare in caso di eventuali violazioni dei dati (c.d.ย Data Breach), ad esempio al verificarsi di una divulgazione (intenzionale o meno), della distruzione, della perdita, della modifica o dell’accesso non autorizzato ai dati personali oggetto di trattamento. Il GDPR prevede infatti degli specifici adempimenti nel caso in cui si verifichi una violazione di tal genere, a causa di un attacco informatico, di un accesso abusivo o di un incidente. In questi casi il GDPR impone, come previsto dall’art. 33, in capo al titolare del trattamento l’obbligo di comunicare all’autoritร di controllo l’avvenuta violazione entro 72 ore (o comunque senza ritardo). Nel caso in cui la violazione verificatasi faccia presumere che vi sia anche un elevato e attuale pericolo per i diritti e le libertร degli interessati, anche questi ultimi dovranno essere direttamente informati senza ritardo di quanto successo.
inoltre, come previsto poi dall’art. 35 del GDPR, si configura, in capo al titolare del trattamento (e con la possibilitร di consultare il Responsabile della protezione dei dati se presente), l’obbligo di procedere ad una valutazione d’impatto sulla protezione dei dati nel caso in cui un tipo di trattamento, anche in considerazione della natura, dell’oggetto, del contesto e delle finalitร del trattamento stesso, presenti un rischio elevato per i diritti e le libertร delle persone fisiche. Del resto, il GDPR non sancisce un vero e proprio obbligo di svolgimento della valutazione d’impatto, ma si ricorda che il regolamento prevede un generale obbligo, in capo al titolare del trattamento, di attuare le misure idonee al fine di gestire adeguatamente i rischi per i diritti e le libertร degli interessati che possono derivare dal trattamento dei loro dati. Sarร quindi opportuno procedere all’effettuazione della valutazione d’impatto anche quando sul titolare non incombe l’obbligo normativo in tale senso.
un altro adempimento che viene richiesto al titolare del trattamento consiste nella designazione del Responsabile della protezione dei dati (per un approfondimento su tale sfigura vi invitiamo a leggere l’articolo ad esso dedicato del presente Speciale). Tale nomina รจ, come previsto dall’art. 37 del GDPR, obbligatoria soltanto in una serie di ipotesi, in particolare, nel caso in cui il trattamento dei dati sia effettuato da un’autoritร pubblica o da un organismo pubblico (ad eccezione per le autoritร giurisdizionali quando esercitano le loro funzioni); quando le attivitร principali svolte del titolare o del responsabile del trattamento consistono in operazioni che, per la loro natura, l’ambito di applicazione o le finalitร , richiedono un monitoraggio regolare e sistematico degli interessati su larga scala; e infine nel caso in cui le attivitร principali effettuate consistano nel trattamento, su larga scala, di dati sensibili o di dati relativi a condanne penali e a reati consistenti nell’illecito trattamento dei dati personali.
In tutti i restanti casi, quando il regolamento non impone specificamente la nomina di un DPO, questa figura potrร comunque essere designata dal titolare o dal responsabile del trattamento su base volontaria.
https://www.tomshw.it/gdpr-procedure-obbligatorie-quando-applicare-nuovi-istituti-92606
Intermezzo promozionale ... continua la lettura dopo il box:
