Oggi scade il periodo di “tolleranza” previsto dal decreto 101 del 2018. Nell’art. 22 il legislatore stabiliva che il Garante, nei primi otto mesi dalla data di entrata in vigore del decreto, avrebbe tenuto conto della fase di prima applicazione nella determinazione delle sanzioni ad irrogarsi.

Da oggi, quindi, un anno dopo dalla data di piena applicazione del GDPR, sarà tolleranza zero sulle sanzioni. È quindi fondamentale essere in compliance alla normativa sul trattamento dati personali, al fine di evitare il rischio di sanzioni che, ricordiamo, arrivano fino a 20 milioni di euro o al 4% del fatturato globale di gruppo.

Ogni azienda, quindi, qualora non avesse già provveduto all’adeguamento, dovrà procedere alla revisione delle procedure di trattamento dati personali come previsto dal regolamento.

Di seguito quindi 5 punti dai quali partire per intraprendere un processo di adeguamento al GDPR:

1. Mappare i trattamenti svolti e redigere il Registro dei trattamenti. È necessario mappare i trattamenti svolti, analizzare le finalità e le modalità di trattamento, rivedere le basi giuridiche, avendo ben presenti i principi di accountability, privacy by design e privacy by default. Al termine della mappatura, sarebbe necessario procedere con la redazione del registro della attività di trattamento. 
2. Adeguare le informative. È importante adeguare le informative alle previsioni normative contenute nell’art. 13 del GDPR ed ai principi di correttezza e trasparenza. Le informazioni devono essere fornite, inoltre, in modo facilmente visibile, intelligibile e chiaramente leggibile.
3. Revisionare le misure di sicurezza. Risulta fondamentale analizzare con precisione l’adeguatezza delle misure di sicurezza tecniche e organizzative, tali da ridurre al minimo il rischio di una violazione di dati personali (cd. data breach) informatico o fisico. E’ bene ricordare, infatti, che una violazione si può concretizzare, oltre che a causa di una falla nei sistemi informatici, anche con lo smarrimento di documenti cartacei.
4. Gestire le nomine: contitolare, responsabile e autorizzato. Al fine di controllare l’organizzazione aziendale è importante individuare e gestire le nomine delle diverse figure coinvolte in un trattamento dati. Potrebbe essere utile redigere una policy interna relativa alle modalità di trattamento dati, nella quale indicare le best practice da seguire. A tal proposito, infatti, è bene ricordare che il Titolare ha l’obbligo di comunicare la violazione di dati personali all’Autorità Garante entro 72 ore dal momento dell’avvenuta conoscenza.  
5. Individuare i trattamenti a rischio. I trattamenti che comportano determinati rischi per i diritti e le libertà degli interessati, in particolar modo quando coinvolgono dati particolari (ex dati sensibili) o la profilazione, andrebbero analizzati in maniera più approfondita attraverso lo svolgimento di una Valutazione d’impatto privacy, strumento appositamente introdotto dal regolamento. Una lista dei trattamenti che necessitano di Valutazione d’impatto privacy è stata pubblicata dall’Autorità Garante per la protezione dei dati personali.

maggiori info qui
https://www.viscontilegal.it/data-protection-privacy/