I nuovi strumenti introdotti dal GDPR

Tenendo conto del contesto e della finalità del trattamento nonché dei rischi per i diritti e le libertà delle persone fisiche, con la nuova regolamentazione europea il titolare del trattamento deve mettere in atto misure tecniche ed organizzative adeguate per essere in grado di dimostrare che il trattamento dei dati degli utenti e conforme al regolamento.

Elenchiamo di seguito tre elementi chiave introdotti con il nuovo regolamento:

Il Registro delle attività di trattamento

Il registro dei trattamenti è uno strumento fondamentale per mappare i flussi di dati all’interno dell’organizzazione.

Dovrebbe contenere le seguenti informazioni:

  • il nome ed i dati di contatto del titolare del trattamento e del DPO;
  • le finalità del trattamento;
  • la descrizione delle categorie di interessati (cittadini, residenti, utenti, dipendenti, amministratori), nonché le categorie di dati personali (dati identificativi, dati genetici, dati biometrici, dati relativi alla salute);
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati: persona fisica o giuridica; autorità pubblica; altro organismo destinatario;
  • l’eventuale trasferimento di dati personali verso un paese terzo od organizzazione internazionale;
  • i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • il richiamo alle misure di sicurezza tecniche ed organizzative del trattamento adottate.

Registro delle categorie di attività

Secondo l’articolo 37 dell’RGPD Il Registro delle categorie di attività trattate da ciascun Responsabile del trattamento deve contenere le seguenti informazioni:

  • il nome ed i dati di contatto del Responsabile del trattamento e del DPO;
  • le categorie di trattamenti effettuati da ciascun Responsabile: raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione, raffronto, interconnessione, limitazione, cancellazione, distruzione;
  • l’eventuale trasferimento di dati personali verso un paese terzo od organizzazione internazionale;
  • il richiamo alle misure di sicurezza tecniche ed organizzative del trattamento adottate.

È importante capire, però, che il registro dei trattamenti non è un documento che una volta redatto può rimanere fermo e immutabile per sempre, dev’essere inteso come un vero e proprio strumento di lavoro, e come tale deve essere modificato e deve essere mantenuto aggiornato.

Nel caso in cui un tipo di trattamento, per esempio l’uso di nuove tecnologie, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare, prima di effettuare il trattamento, deve effettuare una valutazione d’impatto del medesimo trattamento come stabilito nell’art. 35, GDPR, considerati la natura, l’oggetto, il contesto e le finalità dello stesso trattamento.

Valutazione di impatto sulla protezione dei dati

Una valutazione di impatto sulla protezione dei dati consiste in una procedura finalizzata a descrivere il trattamento, valutarne necessità e proporzionalità, facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati personali e permette di realizzare e dimostrare la conformità alle norme del trattamento di cui trattasi.

La tua azienda è preparata per il GDPR?

Tutte le aziende dovranno necessariamente apportare modifiche al loro sistema di gestione dei dati sensibili, dalle procedure interne ai contratti esterni, per non parlare dei dati dei propri dipendenti e delle conformità tecniche ed organizzative.

Per avere una visione completa delle nuove norme, ti consigliamo la lettura della nostra: UE-RGDP: Guida tascabile

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.