Nuovo regolamento GDPR: cosa devono fare le aziende per essere conformi?

Il 25 maggio 2018, è entrato in vigore il Regolamento (UE) 2016/679 (di seguito, anche, «GDPR»), il quale ha tra i suoi obiettivi e novità quelli di:

  • armonizzare la disciplina sulla protezione dei dati personali all'interno di tutta l'Unione europea;
  • rafforzare e introdurre nuovi diritti degli interessati;
  • attribuire fondamentale importanza ai principi della accountability, della privacy by design e by default;
  • inasprire le sanzioni portandole sino a € 20.000.000 o al 4% del fatturato mondiale annuo del gruppo;
  • introdurre la figura del Data Protection Officer (di seguito, anche, «DPO»).

Per la conformità al GDPR, enti ed organizzazioni devono configurare un c.d. «sistema privacy», che si evolve nel tempo, costituito dai seguenti componenti:

  1. Registro dei Trattamenti
  2. Informative
  3. Lettere di Designazione
  4. Procedure
  5. Registro Data Breach
  6. Analisi dei Rischi
  7. Privacy by Design e DPIA
In particolare in questo post mi vorrei soffermare sul punto 7.

Sai cosa vuol dire privacy by design e DPIA?

Il GDPR disciplina il concetto di Privacy by Design all’rt. 25 “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”.Il GDPR disciplina il concetto di Privacy by Design all’rt. 25 “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”.Ai sensi di questo articolo il Titolare del Trattamento ha il dovere di adottare misure tecniche e organizzative adeguate al fine di dare concreta attuazione alle disposizioni ed ai principi in materia di protezione dei datil Titolare del Trattamento ha il dovere di adottare misure tecniche e organizzative adeguate al fine di dare concreta attuazione alle disposizioni ed ai principi in materia di protezione dei dati garantendo la conformità ai requisiti del regolamento ed un efficace esercizio dei diritti degli Interessati.

All’interno del processo di Privacy by Design, se il trattamento dovesse presentare rischi elevati per gli interessati, il Titolare del Trattamento è tenuto alla esecuzione di un DPIA
Il GDPR impone ai Titolari del Trattamento l'esecuzione della DPIA (Data Protection Impact Assessment), cioè una valutazione d'impatto ai fini privacy, per tutti quei trattamenti che possano "...presentare un rischio elevato per i diritti e le libertà delle persone fisiche" in considerazione della natura, dell'oggetto, del contesto e delle finalità.
La DPIA è una valutazione che deve essere condotta seguendo specifiche metodologie (vedi provvedimento WP 248); l'articolo 35 del GDPR definisce la DPIA come uno strumento che, in ossequio al principio di accountability, consente ai titolari di dimostrare di aver adottato misure appropriate nelle attività di trattamento.

La parte che riguarda la sicurezza informatica rientra proprio in questo articolo 32 del  GDPR sicuramente una parte molto critica che va ad impattare sulla protezione dei dati che sono il cuore  del regolamento GDPR.
Il nostro obbiettivo come azienda del settore informatico è sensibilizzare le figure del DPO e del titolare del trattamento  dell'esistenza di soluzioni innovative che possono essere adottate in fase di redazione di tali documenti al fine di aumentare il livello di sicurezza delle aziende stesse.
https://protosdataprotection.it/soluzioni

Per informazioni contattateci:
commerciale@btonesolution.it 
Tel 011 19620205