In vista dell’applicazione del Regolamento (UE) 2016/679 sulla protezione dei dati, meglio noto con l’acronimo “GDPR—General Data Protection Regulation(documento integrale), prevista per il 25 maggio 2018, è necessario che tutti i soggetti che trattano dati personali intraprendano le azioni opportune al fine di assicurare la conformità ed il rispetto della nuova disciplina.

Tra i destinatari della suddetta disciplina vi rientrano, pertanto, anche gli intermediari che operano nel settore bancario, finanziario e assicurativo, i quali entrano continuamente in contatto con i dati personali della propria clientela.

Con l’entrata in vigore del GDPR aumenteranno senza dubbio gli obblighi da rispettare, ma aumenteranno di pari passo anche i benefici, sia in termini di trasparenza che di maggiore controllo. Ciò aiuterà a prevenire le violazioni e i danni conseguenti.

È opportuno che gli intermediari—titolari di trattamento verifichino la rispondenza delle informative attualmente in uso ai nuovi criteri introdotti dal GDPR, in modo da apportare le modifiche o le integrazioni eventualmente necessarie. In particolare, l’informativa deve avere forma concisa, trasparente e intelligibile per l\’interessato e avrà un contenuto tassativo, diverso a seconda che i dati personali siano raccolti o meno presso l\’interessato (Cfr. artt. 13 e 14 del GDPR).

È necessario, inoltre, verificare che la richiesta di consenso, nel contesto di una dichiarazione scritta che riguarda anche altre questioni, sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all\’interessato e che la stessa sia formulata in modo comprensibile, semplice e chiaro.

Gli intermediari dovranno adottare misure tecniche e organizzative necessarie al fine di garantire l’esercizio dei diritti, nonché il riscontro alle richieste presentate dagli interessati, che d’ora in  poi dovrà avvenire in forma scritta, anche attraverso strumenti elettronici che ne favoriscano l\’accessibilità.

L’art. 28, par. 3, del GDPR definisce in modo più dettagliato le caratteristiche e il contenuto dell\’atto con cui il titolare designa un responsabile del trattamento, il quale deve avere la forma di un contratto o di altro atto giuridico a norma del diritto dell\’Unione o degli Stati membri.

Infine, è importante sottolineare come il GDPR ponga particolare attenzione al concetto di “responsabilizzazione” (accountability) dei titolari e responsabili del trattamento, i quali dovranno adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l\’applicazione del regolamento.

Al fine di affrontare il processo di adeguamento al GDPR per non arrivare impreparati alla sua introduzione, si suggerisce alle imprese di valutare la pianificazione di un’analisi di impatto della GDPR sulla società, tramite lo svolgimento di una gap analysis dei processi e delle misure in essere per valutare la distanza rispetto alla compliance con le nuove disposizioni e pianificare per tempo le conseguenti azioni e iniziative.

In tale contesto, Eddystone si propone quale supporto alle aziende nella definizione di politiche e misure organizzative relative al trattamento dei dati conformi alle nuove norme mediante lo sviluppo di metodologie su misura per il cliente.