Il GDPR alias Regolamento generale sulla protezione dei dati ha avuto il suo caotico avvio il 25 maggio 2018 suscitando grande confusione e smarrimento fra i tanti professionisti italiani.

Cercheremo con questo articolo di delineare i punti essenziali in linguaggio semplice per far comprendere anche a chi non ne vuole proprio sapere cosa fare per adeguarsi al nuovo regolamento generale sulla protezione dei dati.

Cosa devo fare?

1. Individuare chi sia il Titolare del trattamento dei dati
2. Analizzare la tipologia di dati che tratti
3. Individuare le relative finalità di trattamento​
4. Analizzare gli strumenti usati per la conservazione dei dati
5. Analizzare chi tratta i dati 
6. Ridirigere l'informativa per il consenso al trattamento dei dati 
7. Predisporre il Registro dei trattamenti quando necessario
8. In caso di violazione dei dati (Data Breach) segnalarle immediatamente la violazione alla autorità di controllo

 

Individuare chi sia il Titolare del trattamento dei dati

Viene di solito individuato, per comodità, nel “vertice” dell’azienda o dell’organo. Colui, insomma, che decide circa il trattamento dei dati e le sue modalità.

 

Analizzare la tipologia di dati che tratti

Analizzare i dati in proprio possesso é importante perchè le tipologie di dati inerenti a eventi giudiziari, dati sanitari, religiosi e minori richiedono maggior attenzione e regole da seguire.

 

Individuare le relative finalità di trattamento​

E' fondamentale individuare la finalità di ogni singolo trattamento di dati, legittimare la stessa e poterne dimostrare la validità attraverso consenso dell’interessato che a sua volta deve poter essere sempre dimostrabile.

 

Analizzare gli strumenti usati per la conservazione dei dati

I supporti utilizzati per la conservazione dei dati devono essere definiti, per quanto sia semplice definire le modalità e tempi di archiviazione di un archivio cartaceo è utile affidarsi a dei consulenti informatici per poter definire gli aspetti tecnici e conseguentemente i livelli di sicurezza e le criticità di supporti informatici.

 

Analizzare chi tratta i dati 

Nominare un responsabile al trattamento dei dati, eventualmente un responsabile alla protezione dei dati e formare i dipendenti adeguatamente sulle procedure da attuare ad esempio nel caso di violazione dei dati (Data Breach).

 

Ridirigere l'informativa per il consenso al trattamento dei dati 

Informare a avere il consenso dei dati dei propri clienti è fondamentale al fine di non incorrere in sanzioni.

 

Predisporre il Registro dei trattamenti quando necessario

Il registro dei trattamenti dei dati diventa obbligatorio per tutte le imprese od organizzazioni con almeno 250 dipendenti o qualora il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato o qualora il trattamento includa categorie particolari altresì non è indispensabile. 

 

In caso di violazione dei dati (Data Breach) segnalarle immediatamente la violazione alla autorità di controllo 

La violazione dei dati va segnalata entro e non oltre le 72 ore

 

Queste sono le nozioni essenziali da conoscere assolutamente anche perchè le sanzioni sono davvero salate e possono arrivare fino a 20 milioni di euro.

Aspetti ancora da chiarire relativi al Gdpr

La cancellazione dei dati dall'articolo 7, comma 3, lettetera b del Codice Privacy, prevede la possibilità di richiedere la cancellazione dei propri dati a chi li possiede, il problema si pone nel momento in cui, per rendere sensata la richiesta, andrebbe applicata anche ai backup. Tuttavia la cancellazione da tutti i backup è solitamente onerosa e difficoltosa, tanto più il livello di sicurezza di tali backup sia alto. Pertanto saranno previste determinate deroghe per gestire tali casistiche che difficilmente potranno essere controllate a dovere rendendo alquanto instabile tutto il sistema Gdpr.

Cogede Consulting ti informa

Milano, 12/06/2018

Team Cogede Consulting
Il Commercialista di Milano e di Pavia