Come essere in regola con il RGPD: la tua attività è pronta per la nuova legislazione sulla protezione dei dati? | Parte II

10 elementi chiave per essere in regola con il RGPD

1. «Il consenso, accettazione affermativa»

Questo principio cambia, ora il consenso deve essere una manifestazione legata ad una accettazione inequivocabile dell’utente, che sia mediante dichiarazione o attraverso un’azione affermativa. Il silenzio non si considera come assenso, il consenso tacito scompare. Allo stesso modo le caselle pre marcate in calce ai vari concetti sono da considerarsi valide come ottenimento del consenso.

2. «Privacy strutturale e per difetto»

Dalla pianificazione iniziale di un progetto è necessario pensare se esso possa avere implicazioni in materia di protezione dei dati. Bisogna rilevare in anticipo il possibile trattamento dei dati di carattere personale. Visione congiunta e azioni coordinate tra area giuridica, organizzativa, commerciale e IT.

3. «Analisi del rischio»

Nasce l’obbligo di effettuare valutazioni dell’impatto in materia di protezione dei dati. Scompariranno i livelli di sicurezza attualmente noti (basic, medio e alto). Ora le misure saranno legate al risultato delle valutazioni in funzione del rischio di gestione che obbligherà a prevedere meccanismi e procedimenti per la protezione dei dati.

4. «Registro delle attività di trattamento»

Con il RGPD non sarà necessario inserire form nel Registro Generale di Protezione dei Dati. Al contrario, le organizzazioni dovranno disporre di un registro interno legato ai distinti trattamenti di dati personali.

5. «Notifica di una violazione di sicurezza»

Si dovranno notificare alle autorità di protezione dei dati le violazioni alla sicurezza entro le 72 ore successive.

6. «Nuovi diritti degli interessati»

Continua l’obbligo di rispettare i diritti già noti, l’accesso, la rettifica, la cancellazione che ora viene denominata soppressione, l’opposizione. Si aggiungono due nuovi controlli, ossia la limitazione del trattamento e la portabilità dei dati. Il responsabile del trattamento è obbligato a rispondere alle richieste dell’interessato senza dilazione e comunque entro un mese dalla ricezione della richiesta.

7. «Delegato alla protezione dei dati»

Sarà obbligato a disporre di un DPO se il trattamento è effettuato da un’autorità o organismo pubblico. Quando il trattamento richieda un controllo abituale e sistemico dei dati su larga scala. Quando il trattamento abbia per oggetto categorie speciali di dati personali. Al di fuori di questi casi è facoltà del responsabile, dotarsi di un DPO.

8. «Più informazione e trasparenza»

All’identità del responsabile, i fini del trattamento e l’informazione sull’esercizio dei diritti, si sommano i dati di contatto del delegato alla protezione dei dati, gli interessi legittimi del responsabile o di una terza persona, ossia l’intenzione di trasferire dati personali, la durata della conservazione dei dati personali, l’esistenza dei nuovi diritti degli interessati, l’esistenza di sistemi di gestione automatizzati come, per esempio, l’elaborazione di profili.

9. «Unico sportello»

Permetterà a qualsiasi cittadino di presentare un reclamo di fronte all’autorità garante, indipendentemente dalla sede dell’azienda denunciata.

10. «Nuovo regime sanzionatorio»

Crescono le sanzioni per gli inadempimenti. Multe amministrative da 20.000.000 di Euro come massimo o, se si tratta di un’azienda, sanzione massima del 4% sul fatturato annuo sviluppato nell’esercizio finanziario anteriore, in caso di inadempimenti basilari, incluse le condizioni essenziali per il consenso e il trattamento dei dati speciali, la violazione dei diritti degli interessati e la mancanza di garanzia nel trasferimento dei dati.