Principio di accountability e notificazione data breach
Si tratta della principale novità introdotta dal GDPR. E’ il principio che dispone l’auto-responsabilizzazione del titolare del trattamento dati (solitamente la società o il professionista) in quanto impone a questo una auto-valutazione, tra le tante questioni, di come si stia effettuando il trattamento dati, che tipo di dati si stanno trattando, quali siano le misure di sicurezza adottate e di dove siano collocati i dati. Grazie a questo principio viene abrogata la notifica preventiva al Garante della Privacy e la notificazione nel caso in cui ci sia una data breach. Questa andrà valutata dal titolare in base alla gravità del breach e alla tipologia del trattamento che si sta effettuando.
Privacy by design e privacy by default
La normativa europea introduce altresì i principi secondo cui il titolare del trattamento dovrà assicurarsi che in fase di sviluppo software/hardware lo sviluppatore sia compliant alla nuova normativa (by design) e a sua volta, in fase di implementazione all’interno della sua struttura, il titolare dovrà rendersi compliant al GDPR (by default).
Codice di condotta, registro trattamento, certificazioni, diritto all’oblio e alla portabilità dei dati e Data Protection Impact Assessment
Parliamo, in questo caso, di due importanti diritti introdotti dalla normativa comunitaria, il diritto all’oblio e alla portabilità dei dati. In merito agli stessi l’UE ha disposto che l’interessato ha il diritto di ottenere dal titolare al trattamento dei dati personali la loro cancellazione nell’immediato, così come il titolare è obbligato a cancellarli, previa presenza di alcuni determinati requisiti che sono stati stabiliti dal regolamento stesso, come la revoca del consenso, il trattamento illecito o la cessazione dell’utilità dei dati medesimi.
«Questi diritti/obblighi andranno necessariamente inseriti nell’informativa privacy, mentre la documentazione inserita dal nuovo regolamento sarà facoltativa a meno che non ci siano più di 250 dipendenti (registro di trattamento) o il trattamento dati non sia di una determinata tipologia o comporti un rischio per gli interessati (Data Protection Impact Assessment).
Data Protection Officer
In ultimo, il Data Protection Officer è il nuovo ufficio introdotto dal GDPR, obbligatorio in alcuni casi, che può essere sia interno che esterno alla struttura del titolare del trattamento che monitora e vigila sulla corretta applicazione del regolamento stesso.