Chi avrebbe detto che ancora nel 2024, quindi ben 6 anni dopo quel famoso 25 maggio 2018 in cui il GDPR è diventato pienamente applicabile in tutti gli Stati membri, saremmo stati ancora a discutere di come diventare GDPR compliant? Che il Regolamento Ue 2016/679 sul trattamento e la libera circolazione dei dati personali non fosse da prendere sottogamba è stato di certo chiaro fin dall’inizio. Ma ci si sarebbe forse potuto aspettare che le aziende divenissero effettivamente e diffusamente compliant in tempi più brevi. A giustificare almeno in parte questa lentezza nel rispettare ogni singola norma del GDPR c’è il fatto che il General Data Protection Regulation nel suo complesso è tutt’altro che statico. Nel tempo sono infatti stati introdotti nuovi concetti, sono state fornite nuove interpretazioni, con i Garanti Europei a dare precisazioni, indicazioni, spiegazioni e aggiornamenti. Ma cosa devono sapere le aziende per essere perfettamente in linea con il Regolamento Ue 2016/679?
Compliance GDPR: cosa sapere per essere in regola
Di certo dal 2018 in poi le aziende hanno vissuto diverse evoluzioni: pensiamo allo stesso GDPR, ma anche ovviamente all’obbligo di fatturazione elettronica del 1° gennaio 2019.
Vediamo quindi cosa è necessario sapere per essere in regola con il General Data Protection Regulation:
- Prima di tutto è necessario capire se il GDPR si applica o meno alla propria azienda. La risposta è “sì”, se la tua Azienda è stabilita in Unione Europea a prescindere dal numero di Dipendenti o fatturato.
- Passaggio immediatamente successivo è effettuare un data discovery di tutti i dati trattati nella tua Azienda per poi procedere ad effettuare un’analisi dei rischi e predisporre i Registri delle attività di trattamento.
- I dati raccolti devono, inoltre, essere protetti, quindi ne consegue che è necessario adottare misure tecniche ed organizzative coerenti con i risultati dell’analisi dei rischi (criptazione, DFA, formazione del Personale ecc.) .
- È necessario in casi specifici nominare un Responsabile della protezione dei dati (DPO), ovvero un soggetto esterno o interno designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati.
- Il titolare del trattamento deve adottare una procedura che gli consenta di comunicare prontamente (entro 72 ore) eventuali violazioni di dati personali (data breach) al Garante.
- Con il Regolamento è stato introdotto il c.d. principio di accountabilty, ovvero la responsabilizzazione dei titolari del trattamento, che prevede dei comportamenti proattivi per dimostrare l’effettiva adozione di misure tecniche e organizzative a protezione dei dati personali trattati.
- Le Aziende devono, inoltre, prontamente dare riscontro alle istanze degli Interessati che possono andare dalla richiesta di una copia di tutti i loro dati alla richiesta di cancellazione o opposizione al trattamento.
Non hai ancora messo in regola da obblighi e normative la tua attività?
