Il Regolamento (UE) 2016/679 (GDPR) prevede che TUTTE le aziende con base operativa nell’UE o che offrano beni e/o servizi a cittadini europei debbano verificare il proprio grado di compliance del proprio sistema di gestione dei dati personali.

Dal 25 maggio 2018 la normativa GDPR (General Data Protection Regulation) prevede degli obblighi da tenere in considerazione al fine di dimostrare un conforme adeguamento quali:

• Richiesta di consenso in forma chiara (integrazione in informative e contratti);
• Tenuta di un registro delle attività di trattamento;
• Notifica delle violazioni entro 72 ore all’Autorità di controllo;
• Designazione di un DPO;
• Valutazione di impatto.

In caso di violazione scattano delle sanzioni più o meno gravose, a seconda dell’entità dell’infrazione, che possono andare fino ad un massimo di 10 milioni di euro per la carenza di misure adatte a garantire un buon standard di sicurezza.

Il Garante della privacy ha consentito una flessibilità alle aziende ritardatarie per un anno dopo l’entrata in vigore del Regolamento.

In ogni caso le aziende e gli enti dovranno comunque mostrare di avere avviato un piano di adeguamento.

I punti chiave che ogni azienda o ente deve affrontare per adeguarsi al GDPR devono essere:

• Controllare l’accesso ai dati, con database strutturati e destrutturati;
• Identificare chiaramente i dati personali gestiti (con accesso immediato, profilazione, norme di sicurezza a favore della tutela dei dati);
• Governante dei dati: esplicitazione delle policy, identificazione dei processi di gestione, assegnazione delle responsabilità;
• Identificare delle strategie di protezione dei dati: anonimizzazione dei record di dati e crittografia;

Tutti questi aspetti confluiscono in un Registro delle Attività di Trattamento dei dati, in cui appunto sono spiegate tutte le procedure, le finalità, i software utilizzati, le persone coinvolte, le responsabilità, le misure di sicurezza previste nella gestione dei dati personali trattati.