L’adeguamento alle novità portate dal regolamento UE si compone di più fasi.
Il regolamento UE pone con forza l’accento sulla “responsabilizzazione” (c.d. accountability) di titolari e responsabili, sui quali incombe l’onere di dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.
Prima fase è quella dell’analisi e della valutazione dei rischi relativi ai trattamenti di dati personali effettuati dal singolo titolare o dal singolo responsabile.
Individuati i rischi legati a tali trattamenti, andranno successivamente individuate le misure di sicurezza da adottare nell’ottica di scongiurare tali rischi; sul punto si evidenzia come il legislatore europeo non menzioni né indichi delle misure “minime” idonee a prevenire un’eventuale violazione dei diritti dell’interessato (come invece indicate all’Allegato B del Codice privacy ora abrogato), ma si limiti unicamente a richiedere che tali misure siano “adeguate” allo scopo (evitare la predetta violazione).
Andranno riviste e modificate le attuali informative privacy (dirette a dipendenti, clienti e fornitori).
Andrà inoltre predisposta ex novo la nuova informativa di cui all’art. 14 per il caso in cui i dati siano raccolti presso terzi diversi dall’interessato.
Le informative dovranno essere più complete e dettagliate: dovranno essere specificati i dati di contatto del Data Protection Officer (se designato), la base giuridica del trattamento, se il titolare o il responsabile trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti; dovrà essere altresì specificato il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione e se il trattamento comporta processi decisionali automatizzati (es. profilazione); per il caso di cui all’art. 14, dovrà essere altresì specificata la fonte da cui hanno origine i dati trattati.
Da ultimo, dovrà altresì essere revisionato l’attuale organigramma privacy con particolare riferimento alle figure dei responsabili del trattamento cui dovrà essere conferito apposito incarico mediante contratto ad hoc (art. 28 del regolamento e ora anche art. 29 del D.lgs. 196/03); andrà altresì verificata la opportunità/necessità di nominare un DPO (Data Protection Officer) i cui compiti (art. 39 regolamento) saranno principalmente quelli di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno dell’azienda.
Andrà poi valutata la necessità di predisporre un registro delle operazioni di trattamento dei dati come previsto e disciplinato all’art. 30 del regolamento; il comma 5 del predetto articolo prevede che non siano obbligate alla tenuta del registro “le imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”.
Il registro potrà avere forma scritta, anche elettronica, e dovrà essere esibito su richiesta al Garante.