Il nuovo regolamento europeo sulla protezione dei dati personali (Regolamento UE 2016/679 – General Data Protection Regulation, in breve GDPR) stabilisce un insieme ampio e complesso di requisiti da rispettare in ambito privacy per tutte le organizzazioni che offrono servizi nei confronti di cittadini della Comunità Europea .
In ottemperanza al GDPR in caso di ispezioni si dovrà dimostrare:
- di avere censito sistematicamente i trattamenti, le tipologie di dati trattati, le finalità e le modalità di gestione
- di svolgere regolarmente una Valutazione dei Rischi Privacy
- di gestire le violazioni dei dati personali
Il GDPR ha introdotto l’istituto della “valutazione d’impatto sulla protezione dei dati” (indicato anche con “DPIA” o “data protection impact assessment”). È un processo volto a descrivere i trattamenti di dati personali, valutarne la necessità e la proporzionalità, gestire per ogni trattamento gli eventuali rischi per i diritti e le libertà delle persone fisiche da esso derivanti, effettuando una valutazione del livello del rischio e determinando le misure idonee a mitigarlo. Il DPIA va inquadrato come uno strumento essenziale e fondamentale per titolari e responsabili del trattamento al fine di garantire la protezione dei dati personali, come voluto dal legislatore comunitario e fortemente basato sul principio della responsabilizzazione (cd. accountability principle).