Secondo il Garante per la protezione dei dati sono tre le cose che gli enti pubblici devono fare con assoluta priorità per adeguarsi al Regolamento Europeo 679/2016: la nomina del responsabile della protezione dei dati, l’istituzione dei registri di trattamento e la preparazione delle procedure di segnalazione degli attacchi informatici subiti (data breach).

La nuova disciplina impone alle amministrazioni un approccio diverso nel trattamento dei dati personali: prevede infatti nuovi adempimenti e richiede un’intensa attività di adeguamento, preliminare alla sua definitiva applicazione (dal 25 maggio 2018).

Il catalogo delle cose da fare è lungo e, considerando la portata delle sanzioni amministrative pecuniarie prescritte per le violazioni, se non si inizia subito ci saranno problemi grossi, una volta che il Regolamento diventerà pienamente efficace. Tali adempimenti non sono istantanei, quindi non si può certo temporeggiare: devono essere preparati i procedimenti amministrativi sottesi.

Vediamo insieme i tre aspetti che secondo il Garante hanno la priorità per la loro urgenza.

IL DATA PROTECTION OFFICER (Responsabile per la protezione dei dati)

Si tratta della nuova figura che le amministrazioni pubbliche devono nominare obbligatoriamente: la nomina deve avvenire sulla base delle qualità professionali, ma anche della conoscenza specialistica della normativa e della prassi in materia di protezione dati.

In questo ambito, sono da tenere in considerazione i requisiti normativi:

  • Posizione: riferisce direttamente al vertice,
  • Indipendenza: non riceve istruzioni per quanto riguarda l’esecuzione dei compiti,
  • Autonomia: per l’espletamento dei suoi compiti devono essergli attribuite risorse umane e finanziarie adeguate

Il Garante sottolinea che il DPO deve essere coinvolto in modo diretto in tutte le questioni che riguardano la protezione dei dati personali, sin dalla fase di adeguamento alla nuova normativa.

Proprio per questo motivi, la selezione di un DPO è un procedimento che richiede del tempo: ulteriore motivo per non aspettare e rischiare di non arrivare pronti al 25 maggio 2018.

Per saperne di più, leggi il nostro articolo dedicato al Data Protection Officer!

REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO

Il Garante riconosce come essenziale avviare quanto prima la mappatura dei trattamenti svolti e delle loro caratteristiche, tra cui:

  • finalità del trattamento,
  • descrizione delle categorie di interessati e di dati personali,
  • categorie di destinatari cui è prevista la comunicazione,
  • previsione di trasferimenti all’estero di dati personali,
  • tempi di conservazione,
  • misure di sicurezza,
  • ogni altra informazione in linea con l’art. 30 del GDPR.

Tale ricognizione sarà l’occasione per verificare anche il rispetto dei principi fondamentali, la liceità del trattamento (verifica dell’idoneità della base giuridica) nonché l’opportunità dell’introduzione di misure a protezione dei dati fin dalla progettazione e per impostazione (privacy by design e by default).

Il registro del trattamento dei dati: cosa contiene e quando è necessario?

NOTIFICA di VIOLAZIONE dei DATI

Infine, il Garante rileva come fondamentale la pronta attuazione delle nuove misure relative alle violazioni dei dati personali: secondo le disposizioni del Regolamento, infatti, in caso di attacco bisogna fare una notificazione al Garante (e in alcuni casi anche agli interessati) entro 72 ore.

Anche per questo adempimento, è necessario stanziare risorse, predisporre strumenti interni o acquisirli esternamente, assegnare personale interno o affidarsi a consulenti: tutte cose che hanno bisogno di tempo.

Valuta quanto tempo occorre alla tua azienda per adeguarsi al nuovo Regolamento Europeo con il nostro questionario!

 

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!