- 16 ottobre 2017

Il GDPR è pienamente operativo dal 25 maggio 2018. Entro questa data occorre aver definito tutti gli adempimenti prescritti dalla normativa. E oltre la data occorre manutenere e documentare il processo di gestione delle informazioni.
Il trattamento dei dati diventa un processo produttivo da gestire, con fluidità, insieme a tutti gli altri progress aziendali.
Sono tante le attività da svolgere, il che rende consigliabile dotarsi di un modello che consenta di tenere sotto controllo la compliance e di essere in grado di dimostrarla.
Ecco la lista dei doveri per il Titolare del trattamento.
- Attribuire correttamente i ruoli e definire il modello organizzativo di gestione dei dati.
- Se il trattamento si basa sul consenso, essere in grado di dimostrare che l’interessato ha concesso il proprio benestare.
- Se le finalità del trattamento non richiedono più l’identificazione dell’interessato, non conservare, acquisire o trattare ulteriori informazioni identificative.
- Adottare misure appropriate per fornire l’informativa all’interessato.
- Agevolare l’esercizio dei suoi diritti.
- Garantire all’interessato il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano; osservare il diritto di trasmettere senza impedimenti i dati a un altro titolare.
- Aderire ai codici di condotta o a un meccanismo di certificazione per dimostrare il rispetto degli obblighi del titolare.
- Mettere in atto misure organizzative per garantire che siano trattati solo i dati necessari alle specifiche finalità del trattamento.
- Valutare l’opportunità di utilizzare un meccanismo di certificazione approvato per dimostrare la conformità ai requisiti.
- Tenere un registro delle attività di trattamento svolte.
- Considerare il rischio per i diritti e le libertà delle persone, al fine di dotarsi di misure tecniche che garantiscano la sicurezza.
- Far sì che chiunque agisca sotto l’autorità del Titolare e che nessuno tratti i dati se non istruito.
- In caso di violazione, notificarla all’autorità di controllo senza ingiustificato ritardo (ove possibile, entro 72 ore dalla scoperta).
- Documentare qualsiasi violazione dei dati personali, circostanze, conseguenze e provvedimenti adottati.
- Se presenta un rischio elevato per i diritti e le libertà delle persone, comunicare la violazione all’interessato senza ingiustificato ritardo.
- Nello svolgere una valutazione d’impatto, consultarsi con il DPO, qualora sia designato.
- Raccogliere le opinioni degli interessati o dei loro rappresentanti, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.
- Prima di procedere al trattamento, consultare l’autorità di controllo qualora la valutazione d’impatto presenti potenziali rischi elevati in assenza di misure.
- Ottemperare all’eventuale parere dell’autorità di controllo.
- Al momento di consultare l’autorità di controllo, comunicare tutte le informazioni prescritte.
- Designare sistematicamente un Data Protection Officer (DPO) quando necessario.
- Assicurare che il DPO sia tempestivamente coinvolto in tutte le questioni riguardanti la protezione dei dati.
- Sostenere il DPO nell’esecuzione dei compiti fornendogli le risorse necessarie per mantenere la propria conoscenza specialistica.
- Non rimuovere o penalizzare il DPO, e assicurarsi che non riceva alcuna istruzione per l’esecuzione dei propri compiti.
- Fornire all’organismo di certificazione tutte le informazioni e l’accesso alle attività di trattamento.
- Garantire la conformità al Regolamento.
- Attestare nel registro dei trattamenti la valutazione e le garanzie prescritte dal Regolamento.
- Per essere esonerato dalla responsabilità, essere in grado di dimostrare che l’evento dannoso non gli è in alcun modo imputabile.
- Per garantire che i dati non siano conservati più a lungo del necessario, stabilire un termine per la cancellazione o per la verifica periodica.
Tutte queste attività devono essere oggetto di verifica periodica, da documentare con cadenza almeno annuale.
Vuoi una mano dal nostro team di consulenti GDPR? Contattaci!