0 voti
off Livello 10 900 punti
off Livello 10 900 punti

Cosa fare per essere in regola con il GDPR?

Innanzitutto il regolamento del GDPR (General Data Protection Regulation) prevede che ogni azienda nomini un Responsabile della Protezione dei Dati (RPD) – nel Regolamento indicato come Data Protection Officer (DPO) –  adeguatamente formato per assolvere al compito nel migliore dei modi e a cui spetta l’incarico di fornire informazioni relative alla propria attività ai diretti interessati, siano essi i collaboratori della società, i fornitori oppure i clienti.


Il presupposto di base per un trattamento dei dati personali a norma di legge, infatti, è che l’azienda-titolare del trattamento ne abbia ottenuto il consenso libero, specifico ed informato. Ecco perché il GDPR detta specifiche linee guida al fine di garantire questo fondamentale passaggio, dettagliando quali tipologie di informazioni minime è necessario offrire al soggetto al fine di ottenere il suo consenso al trattamento.


Divise in sei categorie, si tratta di: identità del titolare; scopo delle operazioni di trattamento per le quali è richiesto il consenso; tipo di dati raccolti e trattati; esistenza del diritto di revoca del consenso; uso dei dati per le decisioni basate su elaborazione automatica (inclusa profilazione); nel caso di trasferimento verso paesi terzi, possibili rischi in assenza di garanzie e scelte appropriate.


È poi necessario procedere alla tutela dei dati mediante impiego di crittografia, così da renderli non fruibili a soggetti non autorizzati. Bisogna inoltre garantire che, in seguito a un eventuale problema di natura fisica o tecnica, l’accesso alle informazioni venga ristabilito in modo tempestivo.


Per essere compliant, quindi, si devono rispettare procedure standard di protezione (pseudo- nimizzazione e cifratura dati) e prevedere assessmentdelle misure tecniche e organizzative adottate, che dimostrino la capacità di assicurare riservatezza, integrità, disponibilità, resilienza dei sistemi e dei servizi di trattamento, nonché ripristino tempestivo della disponibilità e dell’accesso dei dati personali in caso di incidente fisico o tecnico.


Il GDPR introduce infatti il principio di accountability per tutte le fasi del trattamento. Questo significa adottare soluzioni e strumenti che garantiscano non soltanto la protezione del dato ma anche il controllo, la verifica e l’analisi delle procedure.


Nel caso di una fuga di dati, che si può verificare tramite manomissione, attacco esterno o in modo accidentale, è poi obbligatorio darne avviso tempestivo (entro 72 ore dall’identificazione del problema) all’autorità garante. Eventuali ritardi andranno giustificati.


Per le realtà professionali che contano più di 250 dipendenti vige infine l’obbligo di redigere un registro delle attività con i dettagli sulle policyaziendali attuate in materia di privacy, sulle procedure adottate e sugli standard di sicurezza vantati.

14 Mag 24

La tua risposta

Il tuo nome da mostrare (facoltativo)
Il tuo indirizzo e-mail verrà utilizzato solo per mandarti eventuali notifiche.
Verifica anti-spam:

Per evitare questa verifica in futuro, accedi o registrati in soli 3 secondi!