Tra 17 giorni scade il termine per essere a norma con il Reg. Ue 2016/679. Ecco un elenco minimo delle cose da fare.

1. Il primo adempimento importante è il registro dei trattamenti previsto dall’art. 30 del Regolamento. Sono esonerate le organizzazioni e le imprese con meno di 250 dipendenti, ma solo se non svolgono i trattamenti critici elencati al paragrafo 5 . E’ consigliabile prevedere il registro dei trattamenti a prescindere dall’obbligo dell’art. 30.
2. Il secondo adempimento “obbligatorio” è la valutazione di impatto dei trattamenti previsto dall’art. 35.
La valutazione d’impatto sulla protezione dei dati è richiesta in particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; ,
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Il nostro Garante non ha ancora reso pubblici “l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati” . Ciò ha creato una situazione di incertezza molto diffusa

3. Il terzo step “obbligatorio” è la predisposizione delle informative (art. 12 ) e del consenso dell’interessato (art. 7).

4. Un altro adempimento che è consigliabile compiere entro il 25 maggio è la nomina del Responsabile della protezione dei dati (RPD o DPO, Data Protection Officer), nei casi in cui è prevista (art. 37 e seguenti).
Del DPO si è parlato molto e molti hanno improvvisato corsi e improbabili “certificazioni” – -> I chiarimenti del Garante sulla Norma UNI che “certifica” i DPO.

5. La sicurezza di ogni singolo trattamento (art. 32) è infine l’ultimo dei 5 indispensabili adempimenti da realizzare entro il 25 maggio.
“……..il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio …”
L’aggettivo “adeguato”è qualcosa di molto più impegnativo delle vecchie “misure minime”, previste dal D.lgs 196/03. Per cui questo deve fare riflettere ulteriormente il titolare del trattamento dati sulla necessità di assicurare un livello alto e compelto della sicurezza dei trattamenti dati