Il regolamento generale sulla protezione dei dati (RGPD, in inglese GDPR, General Data Protection Regulation – Regolamento UE 2016/679) è un regolamento con il quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali dei cittadini e dei residenti nell’Unione europea, sia all’interno che all’esterno dei confini dell’Unione europea.
Il GDPR introduce nuovi obblighi e nuove sanzioni, che impongono alle aziende l’adozione di specifiche misure per la protezione dei dati personali. Il Regolamento infatti cambia completamente il modo di affrontare la materia della protezione dei dati personali e ogni singolo trattamento di tali dati va valutato e monitorato attentamente al fine di capire se effettivamente comporti rischi di concrete violazioni a danno di interessati.
L’attenzione dovrà essere quindi rivolta a:
- Struttura di governance (individuazione responsabili per la privacy dei dati, la gestione del responsabile, procedure di segnalazione a fini gestionali);
- Gestione archivio dati personali (modalità di archiviazione dei dati personali o dei flussi di dati personali con classi definite di dati);
- Privacy policy dati personali (politiche e procedure in materia di privacy, requisiti di legge, gestione dei rischi operativi);
- Programma formazione (formazione continua e sensibilizzazione per promuovere il rispetto della privacy);
- Gestione del rischio connesso all’Information Security (programma di sicurezza delle informazioni e valutazione dei rischi, DPIA);
- Gestione del rischio di terze parti (contratti con terzi coerenti con la riservatezza dei dati, policy, requisiti e tolleranza del rischio operativo);
- Comunicazioni (informazioni e comunicazioni agli individui coerenti con la Privacy policy);
- Risposta richieste e reclami di privati (procedure efficaci per le interazioni con gli individui in materia di dati personali);
- Individuare e monitorare la gestione del sistema (monitorare pratiche organizzative per identificare nuovi processi o modificare quelli esistenti al fine di garantire l’attuazione della Privacy by design);
- Gestione data breach;
- Verificare politiche, pratiche e procedure operative ai fini della conformità alla normativa sulla privacy.
Alla luce della nuova normativa è pertanto necessario avere un quadro completo che consenta di schematizzare e mappare: organizzazione e ruoli, persone, cultura e competenze, processi e regole, documentazione che abbia impatti sul trattamento dei dati, contratti con i fornitori che trattano dati, nomine a responsabili e incaricati del trattamento, processi e procedure di gestione dei sistemi informativi, tecnologie e strumenti per la gestione della sicurezza informatica, sistemi di controllo, sistemi di internal audit.
