Il Regolamento Generale GDPR 2016/679 sulla Protezione dei Dati, è una somma di articoli (99) e linee guida che tutte le realtà professionali dovranno rispettare per non incorrere in pesanti sanzioni. L’obiettivo è rendere omogenee le modalità di trattamento dei dati personali degli Stati membri dell’Unione europea. Il primo passo per conformarsi al GDPR 2016/679 è nominare un Responsabile della Protezione dei Dati (RPD). Il Data Protection Officer (DPO) invece viene nominato in Società con più di 250 dipendenti, nelle aziende che trattano dati personali in larga scala e nell’Ente Pubblco. Il DPO deve essere una figura adeguatamente formata. Per assolvere al meglio il suo compito deve godere di fiducia, autonomia organizzativa e risorse economiche. Al DPO spetta l’incarico di fornire informazioni relative alla propria attività ai diretti interessati. Il presupposto di base per un trattamento dei dati personali a norma di legge, infatti, è che l’azienda-titolare del trattamento ne abbia ottenuto il consenso libero, specifico ed informato. Per ottenere il suo consenso al trattamento dei dati personali va data all’interessato una informativa privacy con dei contenuti (scopo delle operazioni di trattamento per le quali è richiesto il consenso; tipo di dati raccolti e trattati; esistenza del diritto di revoca del consenso; uso dei dati per le decisioni basate su elaborazione automatica (inclusa profilazione). Nel caso di trasferimento dei dati personali verso paesi terzi, vanno valutati i possibili rischi (PIA). È poi necessario procedere alla tutela dei dati mediante impiego di crittografia, così da renderli non fruibili a soggetti non autorizzati. Bisogna inoltre garantire che, in seguito a un eventuale problema di natura fisica o tecnica, l’accesso alle informazioni venga ristabilito in modo tempestivo (Disaster Recovery e continuità operativa). Il GDPR introduce infatti il principio di accountability per tutte le fasi del trattamento del dato personale (raccolta, conservazione, distruzione ecc.). Nel caso di una fuga di dati, dovuta a un attacco informatico o in modo accidentale, è obbligatorio darne avviso tempestivo (entro 72 ore dall’identificazione del problema) all’autorità Garante della Privacy. Eventuali ritardi nella comunicazione andranno documentati e giustificati. Le Organizzazioni con più di 250 dipendenti oltre al DPO hanno l’obbligo di tenere un registro delle attività con i dettagli sulle policy aziendali attuate in materia di privacy, sulle procedure adottate e sugli standard di sicurezza applicati….continua a leggere su https://www.mog231.it/privacy-applica-con-modi-il-regolamento-generale-sulla-protezione-dei-dati-gdpr-2016-679-obbligatorio-dal-25-maggio-2018-2/