All for Joomla All for Webmasters

COME DIMOSTRARE LA COMPLIANCE AL GDPR

In caso di controllo come dimostro che sono conforme?

Il Regolamento obbliga i titolari alla responsabilizzazione, affinché adottino autonomamente comportamenti e misure idonee al rispetto del Regolamento stesso.

L'Art. 24 del Regolamento stabilisce che "il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario".

Allo scopo di dimostrare l'adozione di misure idonee al rispetto del regolamento si devono tenere:

  • il registro dei trattamenti,
  • la valutazione d'impatto sul trattamento dei dati,
  • i consensi firmati interessato per interessato,
  • gli incarichi ai Responsabili debitamente firmati,
  • idonee e concretamente adeguate misure di sicurezza (password, cifratura dati, firewall, ...).

Un aspetto da documentare è la valutazione dei rischi. Si tratta di valutare quali sono i possibili rischi che si potrebbero verificare per la protezione dei dati personali, ad esempio la distruzione illegale o accidentale degli stessi, la loro perdita, modifica o rivelazione, oppure l'accesso non autorizzato che potrebbero dar luogo a possibili danni, materiali o immateriali, a carico dei soggetti interessati.

La logica del regolamento è quella per cui prima si dovrà realizzare un'organizzazione adeguata alla tutela della privacy, e solo in un secondo momento il Garante si esprimerà sulla correttezza e adeguatezza delle scelte realizzate.

I titolari e responsabili del trattamento dei dati dovranno poi cooperare con l'Autorità competente (Garante della privacy) per lo svolgimento di controlli mettendo prontamente a sua disposizione, su sua richiesta, tali registri in modo tale da agevolare il controllo sui trattamenti stessi e la verifica del rispetto della normativa.

Solo nel caso in cui il trattamento possa rappresentare un rischio elevato per i diritti e le libertà delle persone, il titolare dovrà effettuare un'apposita valutazione d'impatto sulla protezione dei dati (DPIA) in modo tale da specificare, anzitutto, l'origine, la natura, la gravità del rischio e determinare le misure tecnolgiche ed organizzative necessarie a minimizzare il rischio.

Qualora ancora il rischio per la protezione dei dati permanga elevato non controllabile attraverso le misure previste (sia controllabile con costi sproporzionati), il titolare dovrà rinunciare a quel trattamento oppure consultare il Garante per valutare la possibilità di individuare una soluzione soddisfacente.

Tutte le misure ed attività dovrano essere dimostrate e descritte in forma scritta o in un equivalente, incontestabile formato elettronico.

ELEMENTI DI CONFORMITA':

  • Accountabilty (Responsablità);
  • Informazione scritta agli operatori;
  • Aggiornamento periodico;
  • Registro dei trattamenti,
  • Valutazione del rischio;
  • Informativa coerente;
  • Leicità del trattamento;
  • Raccolta del consenso;
  • Minimizzazione dati;
  • Pseudomizzazione;
  • Anonimizzazone;
  • Detenzione limitata;
  • Acceso all'esercizio dei diritti dell'interessato;
  • Privacy by Design;
  • Privacy by default;
  • Misure di sicurezza (password, cifratura dati, firewall, ...);
  • Nomina del Responsabile trattamento dati;
  • Nomna del DPO;
  • Aggiornamentì;
  • Contrattualistica con responsabili terzi;
  • Valutazione d'impatto sul trattamento dati (DPIA)
  • Data breach policy;