Il G.D.P.R. è composto da un numero elevato di norme in ragione delle quali sarà complesso per tutti i soggetti che dovranno adeguarsi prepararsi alla sua applicazione.
Da un recente studio è stato stabilito come le aziende private, in particolare le PMI, sino in forte ritardo sul GDPR: quasi il 78% dei responsabili IT delle aziende coinvolte non ha compreso chiaramente l’impatto della nuova normativa o non ne è a conoscenza.
Tra quelle che conoscono il GDPR, solo il 59% si sta adeguando e il 21% ammette di non essere a norma e sul fronte pubblico, la situazione non sembra migliorare.
Il G.D.P.R. avrà un impatto su enti e imprese, sia dal punto di vista tecnologico, sia dal punto di vista legale e organizzativo
Le aziende dovranno necessariamente compiere una revisione completa delle modalità con le quale raccolgono e trattano i dati, verificando le basi giuridiche ed informatiche per tali trattamenti e quale è l'impatto di tali trattamenti per gli interessati.
Sarà altresì necessario comunicare agli interessati per mezzo di una nuova informativa i loro diritti, le loro tutele e le nuove modalità di trattamento e conservazione dei dati.
Sarà dunque necessario per le aziende e per le P.A.:
- verificare quali dati vengono trattati, con identificazione del tipo di dati e categorizzazione in modo da distinguerli tra loro, verifica della finalità e della base giuridica del trattamento e eventuale redazione del registro dei trattamenti;
_verificare la preparazione del personale ed aggiornarlo sulle nuove regole;
- aggiornare l'informativa privacy, informando correttamente (e in maniera comprensibile) gli interessati della base giuridica del trattamento dei dati e dei loro diritti (rettifica, cancellazione, oblio);
- verificare le modalità di ottenimento del consenso e di una procedura per verificare l'età degli interessati;
- verificare la procedura per consentire agli interessati di richiedere l'attuazione dei loro diritti;
_ verificare se fosse necessario far eseguire la VIA ossia la valutazione d'impatto del trattamento dei dati;
_ prevedere l’instaurazione di una procedura per eventuali violazioni dei dati (data breach);
- verificare se fosse necessaria l’eventuale designazione di un Data Protection Officer (DPO);
- individuare con certezza l'autorità di vigilanza alla quale si è soggetti.
Per fare tutto questo ed evitare di incorrere in importanti sanzioni, Vi consiglio di rivolgerVi a consulenti esperti che possano guidarvi in questa complessa trasformazione dei vostri processi aziendali.
Pavia, lì 06 aprile 2018 Avv. Valter Vernetti