GDPR: cosa devono fare le aziende per adeguarsi

Il nuovo Regolamento UE/679/2016 in materia di protezione dei dati personali (conosciuto come GDPR) entrerà in vigore il prossimo 25 maggio e diverrà la fonte normativa di riferimento in materia di Privacy sul territorio di tutti gli Stati membri.

Tra le novità apportate dal GDPR le più rilevanti hanno come destinatari le imprese, sulle quali grava l’obbligo di adeguarsi senza ritardo alle nuove prescrizioni europee per non incorrere nelle sanzioni previste in caso di inadempienza.

Se per le grandi aziende e multinazionali l’adeguamento al GDPR non ha comportato particolari problematiche, per gli enti pubblici e le PMI la situazione si è presentata sin da subito profondamente diversa: la non attualità delle strutture organizzative e l’arretratezza degli strumenti utilizzati ne hanno ostacolato l’allineamento, nonostante i termini concessi dal Regolamento fossero più che sufficienti a raggiungere il fine previsto.

Tuttavia, gli interventi innovatori più rilevanti ed impegnativi che graveranno su tali soggetti sono limitati e possono essere sintetizzati in pochi punti.

Innanzitutto, i soggetti che rispondono ai requisiti prescritti dal Legislatore devono provvedere alla nomina di un Data Protection Officer (D.P.O.), ovvero ad un soggetto incaricato di provvedere alla gestione di tutte le pratiche afferenti il trattamento e la protezione dei dati personali.

Qualora l’attività di trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche, a norma dell’art. 35 GDPR la società è tenuta ad attenersi ai criteri valutazione d’impatto sulla protezione dei dati (D.P.I.A.,  “Data Protection Impact Assessment”). Questo istituto si presenta come un processo estimativo, volto a definire il trattamento dei dati personali e a valutarne la necessità e proporzionalità in relazione agli interessi di impresa, attraverso la valutazione del livello di rischio sopportabile.

L’utilizzo professionale dei dati personali è adesso altresì subordinato alla tenuta di un registro per il trattamento: ai sensi dell’art. 30 GDPR, onerato di tale incombente è il Titolare -o se nominato il Responsabile- del trattamento, il quale deve riportare nel registro la ricognizione e valutazione di tutti i trattamenti svolti, sì da poterne correttamente pianificare e verificare l’andamento e la modalità di realizzazione.

Queste novità insieme comportano poi il sorgere di un ulteriore gravame a carico delle imprese: nei rapporti “esterni” con gli interessati sarà necessario aggiornare ed adattare alla nuova disciplina la modulistica utilizzata per il trattamento.

Ad ultimo, i destinatari del GDPR dovranno utilizzare tutti gli strumenti sopra elencati per operare una complessiva valutazione di adeguatezza sui trattamenti dei dati personali che sono posti in essere.