Recentemente, l’Autorità Garante è intervenuta nel contesto di un provvedimento adottato nei confronti di un’Azienda sanitaria (Provvedimento n. 278 del 17.12.2020), offrendo indicazioni significative ai titolari del trattamento in merito agli adempimenti di compliance GDPR e alla corretta adozione e implementazione delle misure tecnico-organizzative di sicurezza.
Riassumendo il merito del provvedimento (che di fatto racchiude in sé una sorta di vademecum dei più importanti incombenti richiesti all’azienda in ambito di data protection), si è posta particolare attenzione sui seguenti aspetti: (i) l’adozione del registro delle attività di trattamento, (ii) le designazioni dei responsabili del trattamento attraverso l’indicazione analitica dei compiti attribuiti, (iii) la messa in atto di misure di sicurezza tecnico-organizzative adeguate al rischio e comprensive, tra le altre, della pseudonimizzazione, della cifratura dei dati e, più in generale, di misure in grado di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, (iv) la redazione di un corretto modello di consenso informato ed infine (v) l’esecuzione di una valutazione di impatto sulla protezione dei dati attraverso l’esecuzione tempestiva della DPIA (“data protection impact assessment”).
Sono questi, pertanto, i principali adempimenti sui quali i titolari del trattamento devono concentrare il loro massimo sforzo. È bene, infatti, rammentare che, a decorrere dal 25.05.2018 ed in ossequio al principio di responsabilizzazione (“accountability”), i titolari del trattamento diventano i primi controllori di sé stessi, ovverosia della conformità dei propri trattamenti ai precetti normativi. In conclusione, il messaggio contenuto nel Provvedimento n. 278 del 17.12.2020 è di notevole portata perché ribadisce come i titolari del trattamento debbano dotarsi di politiche e presidi dinamici e sostanziali e non di meri adempimenti statici e formali di compliance per dimostrare la propria conformità alle disposizioni previste dal quadro normativo e, quindi, di essere accountable.
Il nostro Studio, sin dagli albori della nuova normativa privacy, coadiuva le aziende in questo processo volto alla definizione di un apparato privacy evoluto, dinamico e coerente con il business portato avanti dall’impresa.
Se vuoi maggiori informazioni sul punto, contattaci:
Studio Legale Bertini
Corso XXII Marzo n. 4
– Milano 20135 – Italia
TEL: +39 02 54106011
FAX: +39 02 94767634
info@studiolegalebertini.it