Il GDPR entrato in vigore nel Maggio del 2018 ha introdotto alcune importanti novità in tema di privacy e dati personali. Tra questi ad esempio il diritto all’oblio, per il quale il soggetto interessato ha il diritto di richiedere al titolare che avvenga la cancellazione dei suoi dati personali. Adesso vi è anche il diritto alla portabilità dei dati, per il quale il soggetto interessato ha il diritto di richiedere e ricevere tutti i dati che lo riguardano e che egli ha fornito al titolare, così da poterli facilmente trasmettere ad altri se lo desidera. Inoltre, un’altra importante introduzione riguarda l’obbligo di notifica nel caso di violazione dei dati personali.
Il titolare infatti, entro 72 ore dal momento in cui ne viene a conoscenza deve notificare l’avvenuta violazione all’autorità di controllo. Per adeguarsi correttamente al questo nuovo regolamento comunitario dunque, le aziende devono incaricare le risorse umane che si occuperanno della gestione dei dati sensibili (possono anche essere esterni all’azienda) e formare il personale, anche mediante specifici corsi privacy, così che possa operare nella maniera più corretta e sicura.
È necessario inoltre effettuare una apposita analisi dei rischi relativi alla conservazione dei dati e del loro trattamento, individuando le precauzioni necessarie per prevenire misure quali la perdita, il furto o il trattamento non conforme delle informazioni sensibili. Va inoltre definito un piano interno che consenta di limitare il verificarsi di ogni singolo rischio, monitorandolo così da evidenziare eventuali rischi sopraggiunti. Se la gestione dei dati avviene mediante l’utilizzo di strumenti informatici, va inoltre effettuata una apposita analisi dedicata al singolo trattamento come ad esempio quello relativo all’individuare i rischi della violazione, la protezione preventiva da adottare, la rilevazione degli eventi connessi al rischio privacy, la risposta da fornire in caso di violazione ed il ripristino della normale operatività.