POST 351
Il 25 maggio 2018 troverà
piena applicazione il Regolamento Europeo n. 679/2016 (“Gdpr”) relativo alla
protezione delle persone fisiche con riguardo al trattamento dei dati
personali, nonché alla libera circolazione di tali dati, abrogando la
previgente direttiva 95/46/CE.
Il Regolamento, per sua
natura vincolante ed obbligatorio in tutti i suoi elementi, si applicherà
automaticamente a tutte le persone fisiche e giuridiche che si trovano in
Europa e non necessita pertanto di un atto interno dei singoli stati membri che
lo recepisca tra le fonti dell’ordinamento giuridico nazionale (sul punto si
segnala tuttavia che il Governo italiano dovrebbe essere in procinto di
adottare uno o più decreti legislativi al fine di adeguare il quadro normativo
nazionale alle disposizioni del Regolamento).
Scopo del Gdpr è quello
di consentire ai cittadini dell’Unione europea di avere un maggiore controllo
sui propri dati personali, attraverso una normativa omogenea in tutti gli Stati
membri e la riduzione della burocrazia in materia di privacy.
Nei prossimi mesi i
titolari e/o i responsabili del trattamento dovranno pertanto uniformarsi alla
disciplina introdotta dal GDPR provvedendo a:
·
mappare correttamente i
trattamenti in corso ed i trattamenti da effettuare,
·
procedere ad audit
interni che evidenzino lo stato dell’arte della compliance privacy ed eventuali aree di miglioramento;
·
implementare i piani di
risposta ad eventuali rischi privacy;
·
aderire, ove esistenti, a
codici di condotta elaborati dalle associazioni di categoria e approvati dalle
autorità di controllo;
·
ottenere, ove esistenti,
certificazioni approvate dalle autorità.
I Titolari ed i
Responsabili dovranno in particolare:
·
raccogliere un nuovo
consenso al trattamento dei dati personali qualora quello raccolto
precedentemente al 25.05.2018 non abbia tutte le caratteristiche richieste dal
Regolamento;
·
verificare la rispondenza
delle informative attualmente utilizzate alle prescrizioni introdotte dal
Regolamento;
·
implementare o adottare
misure organizzative interne per fare fronte agli obblighi introdotti dal
Regolamento (ad esempio in tema di comunicazione di un data breach);
·
revisionare i propri siti
internet ed il proprio sistema informatico per adeguarlo alle previsioni del
Regolamento;
·
revisionare gli attuali
contratti con i clienti e con eventuali responsabili del trattamento;
·
revisionare i contratti
assicurativi;
·
dotarsi del Registro dei
trattamenti;
·
valutare l’opportunità
e/o la necessità di nominare un responsabile della protezione dei dati.
Tommaso
Talluto
Avvocato – Studio EPICA – Treviso