SihNet

Dal Dps al Gdpr (General Data Protection Regulation ): il nuovo Modello Organizzativo sul Trattamento dei Dati – Regolamento Europeo Privacy Ue 2016/679

Cosa prescrive il regolamento Gdpr:

 Il GDPR prescrive che si facciano delle valutazioni documentate di impatto del rischio, sulla base delle infrastrutture e dei sistemi esistenti.
Per questi il regolamento prevede che si applichi il principio del Privacy by design e Privacy by default: ogni nuovo sistema deve essere aderente al regolamento.
Il regolamento stabilisce che il consenso al trattamento dei dati sia valido ed esplicito e può essere revocato.

Occorre identificare una figura aziendale che si assuma il compito di Data Protection Officer. Le aziende che hanno più stabilimenti, lontani fra loro, devono averne più di uno.

In caso di violazione dei dati, bisogna spiegare e documentare come si intende reagire, va informata l'autorità di vigilanza entro 72 ore dalla violazione.

Il GDPR sancisce il diritto alla cancellazione dei dati e il diritto all'oblio e la portabilità dei dati da un sistema di comunicazione all'altro, anche al di fuori di UE.

Le domande a cui rispondere:

Il GDPR impone che di fronte all'autorità si sappia rispondere a varie richieste da parte del regolatore:

• dove sono i dati,
• che valutazione del rischio è stata fatta,
• esibire un report che dice dove sono i dati,
• in che modo sono stati tracciati.

Ma bisogna anche saper rispondere a questioni di fronte all'azienda:

• far capire cosa è un dato personale,
• come lo si identifica,
• come si controllano i diritti di accesso,
• effettuare un log delle attività,
• come si gestisce la duplicazione senza contrastare il diritto all'oblio.