Le regole del GDPR
La più grande novità introdotta dal GDPR consiste essenzialmente in un diverso approccio nella protezione dei dati personali, con un ampliamento dei diritti riconosciuti agli interessati.
Il GDPR prevede in particolare che vengono aumentati e resi più comprensibili i contenuti delle informative privacy; vengono fissati nuovi requisiti per il consenso al trattamento e introdotte stringenti previsioni in materia di violazione dei dati personali (data breach).
In alcuni casi, viene previsto l’obbligo di nomina di un data protection officer (DPO), figura chiamata a verificare il rispetto della normativa per conto del titolare del trattamento e viene prevista la redazione di un registro delle attività di trattamento. Per le imprese con un numero di dipendenti inferiore a 250 la redazione del registro non è sempre obbligatoria, ma solo consigliata.
Per particolari trattamenti ad alto rischio viene richiesta una valutazione di impatto sulla protezione dei dati personali e l’adozione di conseguenti misure preventive, rapportate alla propria attività (rileva ad esempio che il trattamento dei dati avvenga su larga scala) e alla tipologia di dati trattati (rileva ad esempio che la finalità del trattamento sia a scopi commerciali).
Vediamo alcuni esempi specifici.