GDPR: quali sono gli strumenti necessari per essere in compliance (Guida al GDPR 5.1)

Il nuovo Regolamento europeo per la protezione dai dati personali (c.d. GDPR) lascia un certo margine di discrezionalità ai titolari del trattamento nel decidere le concrete modalità da adottare al fine di conformarsi alle sue disposizioni. A questa maggiore libertà si contrappone, tuttavia, l’onere di dimostrare le ragioni a fondamento delle decisioni prese, attraverso le quali si ritiene di poter raggiungere un livello di conformità alla normativa.

Come previsto infatti dal Considerando n. 78 del GDPR, “La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento”.

Questo tipo di approccio andrà sicuramente ad incidere sugli strumenti che i titolari del trattamento dovranno concretamente adottare al fine di ottemperare agli obblighi previsti e dimostrare così la loro conformità al GDPR.

Innanzitutto, al fine di poter dimostrare la conformità al regolamento, il titolare del trattamento dei dati personali dovrà predisporre delle politiche interne e delle misure tecniche che consentano di dimostrare, nello specifico, il rispetto del principio della “protezione dei dati fin dalla progettazione e della protezione dei dati di default”.

Misure idonee per raggiungere un tale obiettivo potrebbero essere, ad esempio:

  • una riduzione al minimo indispensabile del trattamento dei dati personali;
  • la pseudonimizzazione dei dati personali da realizzare già nelle prime fasi del trattamento;
  • un approccio trasparente in relazione alle funzioni e al trattamento dei dati;
  • il mettere l’interessato nella condizione di poter controllare come viene effettuato il trattamento dei suoi dati personali;
  • realizzare e migliorare le caratteristiche di sicurezza per il trattamento dei dati personali.

Da un punto di vista operativo, un importante strumento di compliance è sicuramente la predisposizione di un “registro dei trattamenti”.

Come precisato infatti dal Considerando n. 82, al fine di dimostrare la conformità al GDPR, il titolare o il responsabile del trattamento dei dati dovrebbero tenere un apposito registro dei trattamenti posti in essere, nel quale documentare ogni elemento connesso all’utilizzo di dati personali.

La norma che viene in riferimento è l’art. 30 del GDPR, il quale afferma appunto che ogni titolare o responsabile del trattamento (se previsto) tengano un registro delle attività di trattamento svolte sotto la propria responsabilità.

Si tratta, in poche parole, di un registro che deve essere redatto in forma scritta, anche in formato elettronico, la cui tenuta è obbligatoria soltanto quando l’organizzazione ha più di 250 dipendenti, ma che in realtà è caldamente consigliata a qualsiasi titolare.

Il GDPR prevede un contenuto specifico per il registro dei trattamenti. In esso va infatti riportata una serie di importanti informazioni, quali:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali che vengono in rilievo;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi (e ponendovi particolare attenzione) i destinatari extraeuropei od organizzazioni internazionali (sempre da intendersi come destinatari oltre l’ambito del territorio dell’Unione Europea);
  • i trasferimenti di dati personali verso un paese extraeuropeo o un’organizzazione internazionale, identificando con precisione di quale paese terzo od organizzazione internazionale si tratta;
  • i termini ultimi previsti per la cancellazione delle diverse categorie di dati (o almeno come vengono determinati tali termini);
  • una descrizione generale delle misure tecniche e organizzative adottate per garantire la sicurezza dei dati.

La tenuta del registro viene incentivata dal legislatore europeo, perché la sua predisposizione dovrebbe essere concepita come qualcosa di più di un mero obbligo legale, potendo costituire uno strumento estremamente utile e vantaggioso per le aziende.

Il suo corretto utilizzo infatti potrebbe configurare un mezzo di pianificazione e di controllo fondamentale al fine di garantire la correttezza del trattamento dei dati personali nel rispetto delle prescrizioni del GDPR, ma anche per documentare tutte le relative attività e trovarsi pronti ad affrontare eventuali controlli dell’Autorità.

Oltre alla tenuta del registro, al fine di dimostrare la conformità al dettato normativo del nuovo Regolamento, l’adozione di opportune misure da parte del titolare o del responsabile del trattamento dovrà fondarsi sulle indicazioni contenute in appositi codici di condotta che potrebbero essere disposti, sulla necessità di acquisire particolari certificazioni, sulle linee guida emanate dalle Autorità garanti europee o da appositi gruppi di studio, oltre che, ovviamente, sulle istruzioni e sui consigli forniti dal responsabile della protezione dei dati (DPO).

Attraverso un impiego integrato di questi strumenti, il titolare potrà essere in grado di garantire il pieno rispetto e la corretta applicazione del Regolamento, trovandosi in condizione di 1) individuare i rischi connessi al trattamento dei dati personali, 2) svolgere un’analisi del rischio sotto il profilo dell’origine, della natura, della probabilità e della gravità e 3) identificare i mezzi più adeguati al fine di attenuare un tale rischio e garantire elevati livelli di protezione.

FocusGDPRNormativaPrivacy e sicurezza Informatica
marzo 19, 2018
gdprprivacyRegolamento europeo
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it