Prepararsi all’entrata in vigore del General Data Protection Regulation (GDPR): I PASSI DA FARE
Non sarà sufficiente mettere a posto le carte (come alcuni soggetti stanno proponendo, anche cercando di vendere “programmini” ad hoc), ma occorre avere un sistema personalizzato (rispetto alle proprie attività) che risponda alla necessità di tutela dei soggetti interessati.
Si riportano di seguito alcuni punti essenziali per adeguarsi alla nuova normativa, indicati dall’agenzia ICO.

-   CONSAPEVOLEZZA
Dovresti assicurarti che i responsabili delle decisioni in materia di data protection e le persone chiave dellatua organizzazione siano consapevoli del fatto che la normativa sta cambiando. Devono preventivamente valutare l' impatto del trattamento sui dati e i rischi ad esso collegati.

-   INFORMAZIONI IN TUO POSSESSO      
Dovresti documentare quali dati personali tratti, da dove provengono e con chi li condividi. Potrebbe essere necessario organizzare un controllo delle informazioni.

-   COMUNICAZIONE DELLE INFORMAZIONI SULLA PRIVACY
È necessario rivedere le attuali informazioni sulla privacy e mettere in atto un piano per apportare le modifiche necessarie in tempo utile all'implementazione di GDPR.

-   DIRITTI DEGLI INDIVIDUI            
Dovresti controllare le tue procedure per assicurarti che coprano tutti i diritti che la nuova normativa europea riconosce agli interessati, incluso il modo in cui elimini i dati personali o fornisci dati elettronicamente e in un formato comunemente usato.

-   RICHIESTE DI ACCESSO SOGGETTO            
Dovresti aggiornare le tue procedure e pianificare come gestirai le richieste entro le nuove tempistiche e fornirai qualsiasi informazione aggiuntiva.

-   BASE LEGALE PER IL TRATTAMENTO DEI DATI PERSONALI        
È necessario identificare le basi legali per l' attività di elaborazione nel GDPR, documentarlo e aggiornare l'informativa sulla privacy per spiegarlo.

-   CONSENSO  
Dovresti esaminare come cerchi, registri e gestisci il consenso al trattamento dei dati e se necessario apportare modifiche. Aggiorna i consensi esistenti ora se non soddisfano lo standard GDPR.

-   BAMBINI          
Dovresti iniziare a pensare ora se è necessario mettere in atto sistemi per verificare l'età delle persone di cui tratti i dati e ottenere il consenso dei genitori o dei tutori per qualsiasi attività di elaborazione dei dati nei casi previsti dalla nuova normativa e gestire le nuove casistiche prescritte dal nuovo regolamento europeo in tema.

-   VIOLAZIONE DEI DATI            
È necessario assicurarsi di disporre di procedure corrette per rilevare, segnalare e indagare su una violazione dei dati personali.

-   PROTEZIONE DEI DATI IN BASE ALLA PROGETTAZIONE E VALUTAZIONE D'IMPATTO SULLA PROTEZIONE DATI        
Dovresti familiarizzare ora con il codice di pratica dell'ICO in merito alle valutazioni dell'impatto sulla privacy e le ultime indicazioni del gruppo di lavoro ex articolo 29, e capire come e quando implementarle nella tua organizzazione.

-   RESPONSABILI DELLA PROTEZIONE DEI DATI    
Nei casi espressamente previsti dalla normativa europea dovresti designare qualcuno che si assuma l’onere di verificare la conformità della tua attività di trattamento dati alle nuove prescrizione del Regolamento europeo, di strutturare la protezione dei dati e valutare dove questo ruolo si collocherà all'nterno della struttura dell'organizzazione e delle disposizioni di governance a ciò necessarie. È necessario valutare se occorre designare formalmente un responsabile della protezione dei dati.

-   INTERNAZIONALE          
Se la propria organizzazione opera in più di uno Stato membro dell'UE (ovvero si esegue l'elaborazione transfrontaliera), è necessario determinare l'autorità di vigilanza sulla protezione dei dati personali. Gli orientamenti dell'articolo 29 del gruppo di lavoro ti aiuteranno a farlo.