Il Regolamento (UE) 2016/679 sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati, meglio noto con l’acronimo GDPR—General Data Protection Regulation, è entrato in vigore il 24 maggio 2016 e le disposizioni in esso contenute saranno direttamente applicabili in via definitiva in tutti gli Stati membri a partire dal 25 maggio 2018 (documento  integrale).

Al fine di adeguare il quadro normativo nazionale al GDPR, la Legge di delegazione europea 2016—2017 ha demandato al Governo il compito di adottare, di concerto con il Garante della Privacy, i provvedimenti necessari per modificare o abrogare le disposizioni contenute nell’attuale Codice  in  materia di trattamento dei dati personali, di cui al D.Lgs. 30 giugno 2003, n. 196, ma in vista della  piena applicazione del Regolamento europeo, imprese, studi professionali e pubbliche amministrazioni devono adottare sin d’ora  misure organizzative e tecniche specifiche in materia di privacy fondate su disposizioni specifiche del GDPR che non necessitano di interventi da parte dei legislatori nazionali.

Infatti, Il GDPR ha introdotto nuovi obblighi a carico di Titolari e Responsabili del trattamento di dati personali per i quali vi sono profondi impatti organizzativi che richiedono un supporto normativo e metodologico per garantire la conformità rispetto ai requisiti in materia di protezione dei dati personali espressi dal predetto Regolamento.

In sintesi è necessario comprendere il perimetro e gli impatti del GDPR sulla propria realtà ed espletare un’analisi di conformità per definire un piano di adeguamento alle nuove disposizioni entro maggio 2018.

L’approccio prende, pertanto, avvio con una prima fase di approfondimento della struttura organizzativa aziendale seguita dalla fase di mappatura/mapping, di dati, trattamenti, processi e flussi esistenti che permetterà lo svolgimento della terza fase c.d. di assessment per valutare i rischi e gli impatti del GDPR.

Il fulcro dell’attività di adeguamento consiste nella quarta fase di gap analysis tramite cui vengono identificate le aree di non conformità ai requisiti normativi, evidenziati i livelli di rischio e prioritizzati gli interventi seguendo un approccio risk-based. Le suddette evidenze confluiranno nel c.d. GDPR Gap Analysis Report.

Terminate le precedenti attività si è in grado di identificare i trattamenti svolti e le loro principali caratteristiche al fine di predisporre il Registro dei trattamenti ex art. 30 GDPR, attività che lo stesso Garante della privacy considera prioritaria.

Sulla base delle risultanze delle attività di assessment sarà  possibile iniziare la fase di implementazione degli interventi mediante le opportune modifiche al sistema organizzativo aziendale (es. definire ruoli e responsabilità, nomina del Data Protection Officer—DPO, formalizzare gli aspetti organizzativi), lo sviluppo di policy e procedure, il recepimento del processo di notifica delle violazioni dei dati personali c.d. data breach, la revisione degli accordi di condivisione dei dati, per esempio, con i Responsabili del Trattamento e i fornitori e, infine, con la definizione e l’erogazione della formazione in ambito  privacy.

In tale ambito, Eddystone è in grado di fornire il necessario supporto normativo e metodologico, nonché di assumere il ruolo di DPO in outsourcing.