Il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio relativo alla “protezione delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati” stabilisce taluni diritti fondamentali per gli interessati (Informazione, Accesso, Rettifica, Oblio, Limitazione di trattamento, Portabilità, Opposizione) e principi per le aziende, introducendo nuovi obblighi, e un nuovo e pesantissimo trattamento sanzionatorio.

Il Regolamento abroga la Direttiva 95/46/CEE e si applicherà a partire dal 25 maggio 2018 a tutte le aziende.

Il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio relativo alla “protezione delle persone fisiche con riguardo al trattamento dei datipersonali e la libera circolazione di tali dati” stabilisce taluni diritti fondamentali per gli interessati (Informazione, Accesso, Rettifica, Oblio, Limitazione di trattamento, Portabilità, Opposizione) e principi per le aziende, introducendo nuovi obblighi, e un nuovo e pesantissimo trattamento sanzionatorio.

Il Regolamento abroga la Direttiva 95/46/CEE e si applicherà a partire dal 25 maggio 2018 a tutte le aziende.

Tra le numerose attività che le aziende dovranno porre in essere entro la suddetta data, si segnala, in particolare che:

  • il titolare del trattamento deve effettuare una valutazione preventiva dell’impatto che può avere il trattamento sulla protezione dei dati personali (assestment), indicando:

 

  • la descrizione dei trattamenti che si prevede saranno svolti;
  • le finalità, i tempi, i modi del trattamento;
  • l’interesse legittimo per il quale il titolare effettua i trattamenti;
  • la valutazione della necessità e della proporzionalità del rischio per i diritti e libertà dei soggetti interessati;
  • le misure di sicurezza e le garanzie da adottare.

  • Nel caso in cui dalla valutazione preventiva si evinca un rischio non irrilevante conseguente al trattamento, il titolare dovrà provvedere alla creazione di una politica interna della sicurezza (accountability), coi seguenti parametri:

  • definizione organigramma ruoli di responsabilità e redazione dei rispettivi incarichi
  • redazione ed aggiornamento del Registro dei Trattamenti;
  • redazione di tutta la documentazione necessaria, richiesta da determinate procedure obbligatorie (regolamento interno, informative e consensi, procedura Data Breach,procedura Privacy by Default, procedura risposta richieste degli interessati aesercitare i propri diritti, clausole contrattuali);
  • obbligo di formazione annuale ai dipendenti;
  • revisione annuale della conformità al GDPR, ossia revisione di tutta la documentazione e del rispetto delle procedure.

  • Eventuali misure volte al contrasto della perdita dei dati.

Il mancato rispetto dei suddetti adempimenti comporterà l’applicazione di sanzioni amministrative per massimali pari a 20 mln € o il 4% del fatturato annuo e penali secondo la competenza del singolo Stato, data l’impossibilità di una previsione del diritto dell’Unione europea.