Il GDPR è un corpo normativo imponente, composto da 173 considerando e da 99 articoli, parte di un eco-sistema ancora più complesso ed in continuo divenire, costantemente integrato ed arricchito da linee guida, pareri applicativi, ecc.. Il Legislatore comunitario ha posto decisamente l’accento sulla sostanza, sulla effettività della protezione delle persone con riguardo al trattamento dei dati, piuttosto che sulla forma; l’aspetto dinamico del fenomeno della protezione dei dati prevale senz’altro su quello statico: sono le procedure utilizzate che connotano, in termini di adeguatezza, la condotta del titolare del trattamento, più che le singole carte in cui dette procedure si estrinsecano. Ciò che occorre implementare, in attuazione del GDPR, è un vero e proprio sistema di privacy management, una politica di gestione della privacy responsabile, consapevole, adeguata e documentabile. Concetto piuttosto chiaro, si direbbe; ma definire in che cosa ciò si sostanzi in concreto è tutt’altra storia. Il principio di accountability (che potremmo tradurre con “responsabilizzazione”), che permea l’intero GDPR, rischia infatti di spiazzare il titolare/responsabile del trattamento, il quale si trova di fronte ad una pletora di concetti astratti ed obiettivi cui tendere, senza che gli siano al contempo fornite chiare indicazioni operative sul “come fare”. Un approccio scientifico al tema dell’adeguamento dei processi aziendali di trattamento dei dati personali ai principi ed alle prescrizioni del GDPR deve necessariamente contemplare: (i) l’analisi dell’esistente; (ii) la comparazione dell’esistente con il nuovo standard normativo; (iii) l’individuazione, e l’approntamento, delle principali azioni di adeguamento; (iv) la documentazione del processo di adeguamento. Lo Studio fornisce molteplici soluzioni, dalle più semplici e standardizzate a quelle più complesse e personalizzate (compresa la nomina del responsabile della protezione dei dati, c.d. RPD o DPO), al problema dell’adeguamento dei processi aziendali ai principi ed alle prescrizioni di cui al GDPR, assistendo il titolare ed il responsabile del trattamento in questo articolato percorso di aggiornamento, redigendo ed aggiornando tutta la modulistica e la documentazione relativa (dossier privacy, registro dei trattamenti, nomine degli autorizzati al trattamento, nomine dei responsabili del trattamento, revisione delle informative, consulenza nella gestione dei consensi e, più in generale, in tema di cause di liceità del trattamento, ecc.).