In una prima fase viene condotta l’analisi delle attuali politiche di trattamento dei dati personali in essere presso l’organizzazione del titolare del trattamento.

L’analisi è finalizzata ad una prima verifica preventiva circa la conformità delle relative operazioni a GDPR, al Codice della Privacy novellato dal D.Lgs. 101/2018 – se applicabile – alle Linee Guida europee di implementazione del GDPR ed ai Provvedimenti Generali dell’Autorità Garante per la protezione dei dati personali, con riferimento a vari trattamenti (di tipo amministrativo, lavoristico, contabile, previdenziale, etc) ed a varie categorie di interessati (es: clienti, personale dipendente, collaboratori esterni a qualsiasi titolo, fornitori, società, amministrazioni pubbliche, etc).

La verifica viene effettuata:

Effettuata la verifica preliminare ad ampio raggio di cui sopra e relativa a tutti i trattamenti di dati personali, si procede all’adeguamento personalizzato delle politiche di trattamento dei dati personali intervenendo, al solo titolo di esempio, nelle seguenti aree:

• • Redazione personalizzata degli atti di nomina a Responsabile del trattamento (ivi incluse le eventuali nomine dei sub-responsabili, figura ora prevista dal Regolamento) ai sensi dell’art. 28 del GDPR e strutturazione della procedura di conferimento delle nomine;

• • Redazione delle istruzioni alle persone fisiche autorizzate al trattamento (si tratta – ai sensi dell’art. 29 del GDPR – di quelli che la normativa italiana ha fino ad oggi definito “incaricati el trattamento”; il GDPR non prevede uno specifico obbligo di nomina scritta, ma indirettamente dispone che il Titolare deve dare istruzioni e documentare l’indicazione di chi sono le persone fisiche autorizzate a trattare i dati sotto la responsabilità del Titolare o del responsabile; di conseguenza la soluzione migliore è quella di mantenere le nomine scritte agli – ex – incaricati e di redigerle in base a quanto richiesto dal Regolamento UE;

• • Strutturazione del Registro delle attività del trattamento, adempimento documentale previsto dall’articolo 30 del GDPR in capo sia al Titolare del trattamento che in capo a ciascun Responsabile del trattamento;

• • Revisione e redazione di tutte le informative privacy (clienti, lavoratori, fornitori, etc e qualsiasi altro soggetto) ai sensi degli art. 13 e 14 del GDPR (ivi inclusi i conseguenti processi e le formule per l’acquisizione dei consensi se questa è la base giuridica del trattamento);

• • Adeguamento della documentazione e della contrattualistica in essere, ivi inclusa la revisione e/o la redazione delle clausole contrattuali privacy, anche con riferimento ai trattamenti per finalità di marketing e profilazione, in base alle norme rafforzate del GDPR a tutela degli interessati;

• • Revisione dei processi e redazione di tutta la documentazione necessaria per garantire il lecito trasferimento dei dati personali verso Paesi Extra UE;

• • Implementazione dei processi volti alla attuazione del nuovo principio c.d. di “Valutazione d’impatto sulla protezione dei dati” (Privacy Impact Assessment o PIA) secondo cui quando il trattamento prevede in particolare l’uso di nuove tecnologie e considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali e la documenta;

• • Implementazione dei processi volti alla attuazione dei nuovi principi noti come “privacy by design”e“privacy by default” (art. 25 del GDPR “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”) cioè la previsione di misure organizzative volte alla protezione dei dati personali già al momento della progettazione di un nuovo prodotto o servizio e la previsione a monte di misure organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento;

• • Redazione – ove l’ente faccia parte di un gruppo sociateraio che tratta i dati delle persone fisiche in contitolarità tra le varie società – dell’accordo di contitolarità ai sensi dell’articolo 26 del GDPR;

• • Implementazione dei processi e della documentazione volti a garantire il nuovo diritto alla portabilità dei dati;

• • Implementazione dei processi e della documentazione volti a garantire l’esercizio dei nuovi diritti privacy degli interessati previsti dal GDPR;

• • Adozione delle misure di sicurezza nel trattamento richiesta dall’articolo 32 del GDPR.

L’elencazione di cui sopra è esemplificativa. Gli adeguamenti riguardano altresì la conformità delle politiche di trattamento dei dati a prescrizioni specifiche applicabili a diverse categorie di titolari del trattamento pubblici o privati.