Il Regolamento UE 679/2016 (c.d. G.D.P.R. General Data Protection Regulation) pienamente attuativo a partire dal 25 maggio 2018, ha introdotto nel nostro ordinamento importanti novità che impongono agli Enti una gestione aziendale più responsabile, al fine di garantire un elevato livello di tutela degli interessati. Il provvedimento ha formalizzato dei nuovi principi applicabili alle attività di trattamento. In particolare, ha posto al centro il principio di responsabilizzazione (o accountability) che impone al titolare del trattamento l’adozione di misure tecniche e organizzative adeguate a garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato sia conforme al Regolamento stesso.
Sono stati, inoltre, enucleati i principi di privacy by design e privacy by default per effetto dei quali il titolare deve conformare le proprie attività di trattamento, fin dalla fase di progettazione e per impostazione predefinita, alla normativa in materia di protezione dei dati personali.
Il Regolamento impone anche dei nuovi adempimenti, tra cui:
- aggiornamento della modulistica, interna ed esterna;
- effettuazione delle nomine dei soggetti coinvolti nel trattamento;
- obbligo di tenuta di un registro delle attività di trattamento;
- nomina di un responsabile per la protezione dei dati (DPO);
- obbligo di notifica e gestione degli incidenti che determinano una violazione dei dati personali.
Il sistema sanzionatorio inoltre è stato inasprito prevedendo sanzioni amministrative fino a 20 milioni di euro e responsabilità civile nei confronti dell’interessato che subisca un danno materiale o immateriale causato da una violazione del GDPR.
Lo staff certificato di Crient CyberSecurity offre tra i servizi di consulenza GDPR dedicati a Pubbliche Amministrazioni, aziende e professionisti:
- assistenza nella progettazione di modelli e procedure aziendali per la gestione/ trattamento dei dati;
- consulenza nella implementazione di misure di sicurezza organizzative e tecnologiche;
- redazione informative sul trattamento dei dati personali;
- redazione di nomina dei responsabili del trattamento ai sensi dell’art. 28;
- redazione di nomina degli incaricati/autorizzati ai sensi dell’art. 29;
- predisposizione e tenuta del registro delle attività di trattamento;
- svolgimento di Data Protection Impact Assessment (DPIA);