Il Regolamento UE 2016/679 ( GDPR) in materia di protezione dei dati personali (GDPR), che acquisterà piena efficacia il 25 maggio del 2018 (operativo con le sanzioni) , reca alcune rilevanti innovazioni in tema di trattamento di dati personali, e sarà applicabile in maniera generalizzata e immediata in tutta l’Unione europea. Non vi è più una serie predefinita di adempimenti da rispettare, ma ciascun Titolare, nell’ambito della propria autonomia e previa accurata valutazione dei rischi, deve individuare le più idonee misure organizzative e tecniche, e dimostrarne l’applicazione e l’efficacia. I dati devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”

Principi che devono caratterizzare il trattamento 

  • Trattati in modo lecito , corretto e trasparente nei confronti dell’interessato ( liceità )
  • Raccolte per finalità determinate , esplicite e legittime, e successivamente trattate in modo che non sia incompatibile con tali finalità ( limitazione della finalità)
  • Adeguati , pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati ( minimizzazione dei dati ).
  • Esatti , se necessario , aggiornati ; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati ( esattezza )
  • Conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (limitazione della conservazione )
  • Trattati in maniera da garantire una adeguata sicurezza dei dati personali , compresa la protezione , mediante misure tecniche e organizzative adeguate , da trattamenti non autorizzati o illeciti   e dalla perdita , dalla distruzione  o dal danno accidentali  ( integrità  e riservatezza ) 

Il Titolare deve  essere in grado di DIMOSTRARE di aver rispettato le regole in termini di protezione dei dati . La conformità può essere dimostrata con l’adesione a Codici di Condotta o a un meccanismo di Certificazione. Un semplice esempio di una misura organizzativa è la definizione di un organigramma con cui si definiscono ruoli e compiti delle risorse coinvolte nella protezione dei dati personali. Sembrerebbe dunque acquisire un ruolo fondamentale il DPO .