GDPR: perché è necessario un continuo aggiornamento della compliance aziendale

Luca Davini
Avvocato in Milano e Torino

Il Regolamento generale sulla protezione dei dati personali (n. 679/2016, GDPR), approvato nel 2016 dalla Commissione europea, è stato recepito a livello italiano all’interno del Codice privacy (D.lgs. 196/2003), successivamente integrato attraverso il D.lgs. 101/2018 con le nuove previsioni “GDPR-compliant”.

Le disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento UE si sono infatti rese necessarie alla luce dell’obbligo di rendere la normativa “GDPR-compliant”, in particolare con riferimento all’adozione delle procedure organizzative e di sicurezza necessarie per ridurre il rischio legato al trattamento dei dati.

Dal punto di vista delle aziende, ciò si traduce nella necessità di poter dimostrare l’effettiva implementazione del modello di gestione della data protection, non soltanto in virtù del GDPR, ma anche di tutti gli altri possibili cambiamenti che possono sopraggiungere.

A titolo di esempio, il registro dei trattamenti – fondamentale per trasmettere una panoramica di quelli che sono i dati trattati dall’azienda, la finalità di tale trattamento, nonché il Responsabile dello stesso – necessita di una continua analisi alla luce di possibili cambiamenti che possono riguardare:

nuovi trattamenti (derivanti da nuove iniziative di business o marketing), i quali dovranno essere aggiunti al registro con le necessarie specificazioni richieste;

variazioni dei trattamenti già esistenti (come possibile conseguenza – ad esempio – di eventuali evoluzioni organizzative aziendali);

nuove categorie di dati personali da trattare, o nuove tipologie di soggetti interessati da tale trattamento, o ancora il trasferimento dei dati trattati verso Paesi Extra-Ue.

In tutti questi casi, un’attenta e continua revisione risulta essenziale per permettere all’impresa di rimanere “compliant” con la normativa privacy, accompagnando inoltre tale revisione ad un aggiornamento dell’informativa nei confronti dei soggetti interessati, i quali devono essere adeguatamente informati su tutti i cambiamenti nel trattamento dei loro dati.

La gestione e l’adeguamento agli elementi in continua evoluzione in materia di privacy vanno poi accompagnati ad un continuo esame del c.d. Risk Management, ossia l’analisi dei rischi, in quanto nuove innovazioni ben potrebbero aumentare (o diminuire) il livello di rischio, con un conseguente necessario mutamento delle misure di sicurezza aziendali.

In altre parole, la compliance GDPR deve essere vista comeun processo in continuo miglioramento, con la conseguenza che soltanto un’accurata analisi periodica – anche alla luce dei nuovi interventi a livello europeo, quali ad esempio le Linee Guida dell’EDPB – può garantire il rispetto effettivo della disciplina e la conformità dell’azienda alla normativa privacy.

Tale attività di revisione e adeguamento deve essere condotta anche con riferimento alla modulistica contrattuale adottata in azienda, ad esempio nelle condizioni generali di vendita pubblicate sul proprio sito internet o in eventuali accordi confidenziali (cd. non-disclosure agreement) pattuiti nel corso di trattative precontrattuali.

#privacy #GDPR #trattamentodatipersonali #compliance #complianceGDPR #dataprotection #EDPB #codiceprivacy #dirittonuovetecnologie #riskmanagement

Condividi su:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Marcello

Temo che lei non abbia inquadrato correttamente la questione dal punto di vista giuridico.Saremo lieti di fornirle un preventivo per erogare una consulenza alla luce dell'esame del contratto, della corrispondenza intercorsa e della legge applicabile.Nel caso intenda richiedere un preventivo può scrivere a [email protected] esponendo i suoi quesiti. cordiali saluti

VAI AL COMMENTO
gabriele

per quanto riguarda i 3 months notice ricevuta (avevo chiesto 6 mesi di preavviso, essendo agente esclusivo per l'Italia da 18 anni)mi e' stata negata, nonostante anche l'Inghilterra abbia sottofirmato gli accordi Europei, mi hanno risposto che fa fede la corte inglese che prevede comunque non piu' di 3 mesi. Mi vedo costretto ad accettare, non potendo chiaramente accollarmi delle spese di un legale che operi in Inghilterra. Ma quello che desidero essere certo,e' che con la data della notifica di disdetta inviatami, sia certo che io sono loro agente x i tre mesi rimanenti e la mandante non puo'personalmente o con un nuovo agente operare sul territorio Italiano prima dello scadere dei 3 mesi. Ad esempio ,contattare i miei clienti e programmare una campagna vendite.

VAI AL COMMENTO
Marcello

La risposta precedente era generica e a titolo di cortesia. Come potrà comprendere non possiamo fornire una consulenza senza aver studiato il caso.

VAI AL COMMENTO
gabriele

Quindi, se io non accetto una dilazione dell'indennita' dovuta ed accettata , la legge inglese prevede che la mandante mi debba liquidare in un'unica soluzione?

VAI AL COMMENTO
Marcello

Buongiorno, in linea di principio il pagamento dell'indennità, se legalmente dovuta, dovrebbe essere effettuato in un' unica soluzione ma le parti possono concordare diversamente. cordiali saluti Marcello Mantelli

VAI AL COMMENTO

Seguici su