GDPR: perché è necessario un continuo aggiornamento della compliance aziendale

Luca Davini
Avvocato in Milano e Torino

Il Regolamento generale sulla protezione dei dati personali (n. 679/2016, GDPR), approvato nel 2016 dalla Commissione europea, è stato recepito a livello italiano all’interno del Codice privacy (D.lgs. 196/2003), successivamente integrato attraverso il D.lgs. 101/2018 con le nuove previsioni “GDPR-compliant”.

Le disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento UE si sono infatti rese necessarie alla luce dell’obbligo di rendere la normativa “GDPR-compliant”, in particolare con riferimento all’adozione delle procedure organizzative e di sicurezza necessarie per ridurre il rischio legato al trattamento dei dati.

Dal punto di vista delle aziende, ciò si traduce nella necessità di poter dimostrare l’effettiva implementazione del modello di gestione della data protection, non soltanto in virtù del GDPR, ma anche di tutti gli altri possibili cambiamenti che possono sopraggiungere.

A titolo di esempio, il registro dei trattamenti – fondamentale per trasmettere una panoramica di quelli che sono i dati trattati dall’azienda, la finalità di tale trattamento, nonché il Responsabile dello stesso – necessita di una continua analisi alla luce di possibili cambiamenti che possono riguardare:

nuovi trattamenti (derivanti da nuove iniziative di business o marketing), i quali dovranno essere aggiunti al registro con le necessarie specificazioni richieste;

variazioni dei trattamenti già esistenti (come possibile conseguenza – ad esempio – di eventuali evoluzioni organizzative aziendali);

nuove categorie di dati personali da trattare, o nuove tipologie di soggetti interessati da tale trattamento, o ancora il trasferimento dei dati trattati verso Paesi Extra-Ue.

In tutti questi casi, un’attenta e continua revisione risulta essenziale per permettere all’impresa di rimanere “compliant” con la normativa privacy, accompagnando inoltre tale revisione ad un aggiornamento dell’informativa nei confronti dei soggetti interessati, i quali devono essere adeguatamente informati su tutti i cambiamenti nel trattamento dei loro dati.

La gestione e l’adeguamento agli elementi in continua evoluzione in materia di privacy vanno poi accompagnati ad un continuo esame del c.d. Risk Management, ossia l’analisi dei rischi, in quanto nuove innovazioni ben potrebbero aumentare (o diminuire) il livello di rischio, con un conseguente necessario mutamento delle misure di sicurezza aziendali.

In altre parole, la compliance GDPR deve essere vista comeun processo in continuo miglioramento, con la conseguenza che soltanto un’accurata analisi periodica – anche alla luce dei nuovi interventi a livello europeo, quali ad esempio le Linee Guida dell’EDPB – può garantire il rispetto effettivo della disciplina e la conformità dell’azienda alla normativa privacy.

Tale attività di revisione e adeguamento deve essere condotta anche con riferimento alla modulistica contrattuale adottata in azienda, ad esempio nelle condizioni generali di vendita pubblicate sul proprio sito internet o in eventuali accordi confidenziali (cd. non-disclosure agreement) pattuiti nel corso di trattative precontrattuali.

#privacy #GDPR #trattamentodatipersonali #compliance #complianceGDPR #dataprotection #EDPB #codiceprivacy #dirittonuovetecnologie #riskmanagement

Condividi su:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

*