GDPR: Come si dimostra la compliance (Guida al GDPR 5.5)

Come già specificato in più occasioni nei vari articoli di approfondimento di questo Speciale sul GDPR, il Regolamento pone fortemente l’accento sulla responsabilizzazione dei titolari e dei responsabili del trattamento, affinché adottino autonomamente una serie di comportamenti che permettano di dimostrare l’adozione di misure idonee al rispetto del Regolamento stesso.

Questo obbligo emerge con evidenza dall’art. 24 del Regolamento, che infatti stabilisce che “1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

  1. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento”.

Automatica conseguenza di questo nuovo approccio è, peraltro, il fatto che l’intervento delle Autorità di controllo sarà successivo, cioè avverrà, da un punto di vista cronologico, soltanto quando il titolare abbia autonomamente assunto le sue decisioni e posto in essere quanto dallo stesso ritenuto necessario per essere compliance.

Proprio per queste ragioni, a partire dal 25 maggio 2018 saranno aboliti alcuni istituti in vigore nella precedente normativa, come la notifica preventiva dei trattamenti all’autorità di controllo e la verifica preliminare (previsti dal Codice della Privacy, il d.lgs. 196/2003).

Questi saranno infatti sostituiti, in una logica inversa, da istituti quali il registro dei trattamenti, lo svolgimento della valutazione d’impatto sul trattamento dei dati e, appunto, l’adozione di idonee e concretamente adeguate misure di sicurezza.

La logica di base è infatti quella per cui prima si dovrà realizzare un’organizzazione adeguata alla tutela della privacy, e solo in un secondo momento il Garante si esprimerà sulla correttezza e adeguatezza delle scelte realizzate.

I titolari e responsabili del trattamento dei dati dovranno poi cooperare con l’Autorità competente (quindi, nel caso dell’Italia, il Garante della privacy) per lo svolgimento di controlli mettendo prontamente a sua disposizione, su sua richiesta, tali registri in modo tale da agevolare il controllo sui trattamenti stessi e la verifica del rispetto della normativa.

In secondo luogo, al fine di garantire la sicurezza dei dati trattati e assicurare che il trattamento degli stessi sia posto in essere in modo conforme al Regolamento, il titolare e il responsabile dovranno innanzitutto valutare quali sono i possibili rischi che si potrebbero verificare per la protezione dei dati personali, ad esempio la distruzione illegale o accidentale degli stessi, la loro perdita, modifica o rivelazione, oppure l’accesso non autorizzato che potrebbero dar luogo a possibili danni, materiali o immateriali, a carico dei soggetti interessati.

Dopo aver fatto questo, il titolare o il responsabile dovranno adottare, ed essere in grado di dimostrare di aver attuato delle misure di sicurezza adeguate, in relazione al singolo caso di volta in volta considerato, al fine di minimizzare tali rischi, come ad esempio la cifratura dei dati.

Nel caso in cui poi il trattamento possa, nel caso di specie, rappresentare un rischio elevato per i diritti e le libertà delle persone, il titolare dovrà effettuare un’apposita valutazione d’impatto sulla protezione dei dati in modo tale da specificare, anzitutto, l’origine, la natura e la gravità del rischio.

L’esito di questa valutazione dovrà poi essere posto a fondamento della decisione relativa alle opportune misure di sicurezza che dovranno essere adottate, al fine di dimostrare -in un momento successivo- che il trattamento dei dati personali posto in essere è conforme alle disposizioni ed ai principi alla base del regolamento.

Qualora ancora emerga che il rischio per la protezione dei dati sia tanto elevato da non poter essere tenuto sotto controllo attraverso le misure previste, anche laddove i costi di attuazione delle misure idonee siano eccessivamente elevati, e anche in base alla tecnologia a disposizione, il titolare non potrà porre comunque in essere quel trattamento, ma dovrà rinunciarvi oppure consultare il Garante per valutare la possibilità di individuare una soluzione soddisfacente in termini di sicurezza dei dati, che consenta di proseguire con tale trattamento nonostante gli elevati rischi individuati a monte.

Concretamente, occorre poi ricordarsi che la forma più idonea per dimostrare la propria compliance alla disciplina del Regolamento è sicuramente quella scritta.

Anche laddove tale forma non sia espressamente richiesta per i vari adempimenti previsti dal GDPR, sarà quindi interesse (e vantaggio concreto) dello stesso titolare quello di documentare quante più attività possibili in modo chiaro e completo, e di prepararsi a produrre tali documenti al Garante o all’interessato, a seconda dei casi, in tempi rapidi e in un formato adeguato.

Ad esempio, se il consenso dell’interessato venga rilasciato in forma orale, ferma restando la validità in termini teorici di tale consenso, sarà il titolare a doversi attivare al fine di procurarsi comunque una prova scritta di tale conferimento, da poter presentare in caso di eventuali successivi controlli dell’Autorità di controllo, oppure anche su richiesta dell’interessato, al fine ultimo di dimostrare di aver effettuato un trattamento legittimo.

FocusGDPRNormativaPrivacy e sicurezza Informatica
marzo 19, 2018
gdprprivacyRegolamento europeo
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it