Le imprese dovranno individuare e comprendere i principali cambiamenti che l’adeguamento alla nuova normativa privacy comporterà rispetto all’attuale disciplina. Questa valutazione, soprattutto per coloro che si avvalgono di servizi di full outsourcing informatici, non può prescindere dalle progettualità specifiche che anche i provider IT dovranno affrontare per i propri utenti.

Ecco, in sintesi, i principali impatti per l’organizzazione aziendale:

– LICEITA’ DEL TRATTAMENTO: verifica dei dati trattati, con identificazione del tipo di dati e categorizzazione in modo da distinguerli tra loro, verifica della finalità e della sussistenza della base giuridica del trattamento;

– REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO: per le imprese o organizzazioni con più di 250 dipendenti- oppure sotto tale soglia, se il trattamento presenta (a) un rischio per i diritti e le libertà dell\’interessato; (b) non è occasionale e include dati personali sensibili, sanitari, sulla vita o sull’orientamento sessuale, genetici, biometrici, relativi a condanne penali e a reati. Il Registro secondo le rispettive responsabilità e competenze – deve essere redatto sia dal titolare che dal responsabile del trattamento e rappresenta un sistema documentale di gestione della privacy contenente tutti gli atti, regolarmente aggiornati, elaborati per soddisfare i requisiti di conformità e l’obbligo di rendicontazione;

– INFORMATIVA: adeguamento delle informative privacy, informando correttamente gli interessati della base giuridica del trattamento dei dati e dei loro diritti (rettifica, cancellazione, oblio) con l’indicazione del periodo per il quale i dati raccolti e trattati verranno conservati;

– DIRITTI DEGLI INTERESSATI: verifica della procedura per consentire agli interessati di richiedere l\’attuazione dei loro diritti tra cui quello alla cancellazione e alla portabilità;

– ACCOUNTABILITY: adozione di misure tecniche e modelli organizzativi atti a garantire che la gestione e conservazione dei dati avvenga in maniera conforme ai principi di protezione dei dati personali. Attuazione dei principi di (1) “privacy by design”, in base al quale i prodotti e i servizi dovranno essere progettati fin dall\’inizio in modo da tutelare la privacy degli utenti, cioè il trattamento deve essere previsto e configurato fin dall\’inizio prevedendo le garanzie per tutelare i diritti degli interessati, e (2) “privacy by default” cioè di protezione dei dati per impostazione predefinita. Valutazione d\’impatto del trattamento di talune tipologie di dati che presentino un rischio elevato inteso come valutazione dell\’impatto negativo sulle libertà e i diritti degli interessati.

– DPO: eventuale designazione di un Data Protection Officer (DPO) che è un soggetto con competenze giuridiche, informatiche, di risk management, di analisi dei processi che ha il compito di valutare, organizzare e governare la gestione del trattamento dei dati nel rispetto della nuova normativa. Il DPO supporta il titolare e il responsabile del trattamento nell’adempimento al GDPR.

– DATA BREACH: instaurazione di una procedura per eventuali violazioni dei dati;

– TRAINING ADEGUATO: verifica della preparazione del personale ed eventuale aggiornamento,  sulle nuove regole.