Via Santo Stefano 11, 40125 Bologna (BO) 051 9911011
info@studiofarina.it Lun. - Ven. 08:30 - 12:30 / 14:00 - 18:00

Privacy, ormai ci siamo.

La normativa riguarda tutti quelli che, nel pubblico e nel privato, trattano dati personali. Ma, pur riguardando tutti, la procedura di adeguamento è bene svolgerla con buon senso. Innanzitutto si dovrebbe procedere ad individuare le finalità per cui i dati sono stati raccolti e trattati. Una della novità, infatti del GDPR, è il principio di responsabilizzazione del Titolare (accountability) rispetto al trattamento che compie. Individuato il trattamento, si dovranno predisporre misure utili ad evitare rischi connessi all’uso dei dati nonché si dovranno istruire tutti coloro che vi hanno accesso.

Altra novità del GDPR è il registro, ovvero una scheda dove annotare il nome del Titolare, le categorie di interessati, il tipo di dato, l’ambito di circolazione, il tempo di utilizzo e, infine, le misure di sicurezza adottate. Il registro dei trattamenti è obbligatorio per aziende ed enti con 250 dipendenti e per tutti coloro che effettuano trattamenti considerati a rischio. È consigliabile, comunque, per quanti vorranno adeguarsi in maniera corretta. Anche perché il registro, avendo come premessa la mappatura dei trattamenti, altro non è che una buona fotografia del patrimonio informativo in proprio possesso. Una volta scattata, la fotografia è utile anche per fare pulizia e non detenere dati superflui rischiosi da possedere.

Ultima novità, la figura di un Responsabile della protezione dati (DPO). Obbligatoria per enti pubblici e per tutti quelli che trattano dati su larga scala o svolgono trattamenti che richiedono un monitoraggio continuo e un’attenzione particolare. Il Dpo è il raccordo naturale tra Titolare e Garante. Opera in autonomia e può essere interno od esterno all’azienda. Non è richiesto un titolo specifico per tale figura, ma una buona conoscenza normativa.

Per la data anzidetta probabilmente non tutti saranno a regime e neppure la Legge lo prevede. Quello che prevede, invece, è una certa propedeuticità che non può disattendersi. Ovvero:

  • Aver elaborato il Documento di Analisi
  • Aver dato incarico tecnico informatico per l’adeguamento delle misure di sicurezza
  • Avere una policy per eventuali data breach (violazioni)
  • Registro
  • Nomina del DPO

Tag:

Iscrizione alla newsletter

Iscriviti per non perdere le prossime novità