Informativa redatta da Roberto Finco Data Privacy Officer Certificato ISO 17024 TUV registro ITA 069
A CHI SI RIVOLGE
Il GDPR (General Data Protection Regulation) si applica a qualsiasi organizzazione, in qualsiasi paese, che raccoglie, conserva o tratta i dati personali di residenti dell’Unione europea. Questi dati possono provenire da dipendenti, business partner, clienti attuali e potenziali. Nella terminologia del regolamento, tali organizzazioni sono dette “Titolari del trattamento”, che determinano come e perché sono trattati i dati personali, o “Responsabili del trattamento”, che agiscono per conto dei Titolari. Per entrambi il GDPR stabilisce maggiori obblighi e prevede sanzioni in caso di violazione.
ATTENDERE IL DECRETO ATTUATIVO
Ancora non esistono i decreti attuativi che il governo deve emettere per accogliere la normativa. La legge di delegazione europea entrata in vigore il 21 novembre 2017 dava 6 mesi al Governo per adempiere, quindi, aspettiamoci che il decreto attuativo ( che abrogherà la 196/2003, dunque ) verrà approvato pochi giorni prima dell’entrata del GDPR. E, onestamente, senza decreto attuativo, è molto difficile se non con la ” lampada di Aladino ” sapere quali saranno le misure tecniche e/o di processo necessarie per essere a norma. Evidentemente, la legge europea avrà valenza principale, ma un professionista serio non può esimersi dal leggere i decreti prima di mettere in piedi un sistema di valutazione e delle misure di adeguamento necessarie.
In Francia, ad esempio, hanno già stablito un “ periodo di grazia “ dando un lasso di tempo nel quale le eventuali ispezioni saranno più “flessibili” e verificheranno che gli ispezionati abbiano messo in piedi un processo di compliance rispetto al GDPR, buona fede e collaborazione.
COSA BISOGNA FARE PER ESSERE “ A NORMA “
Requisito fondamentale non è la mera introduzione di nuove diciture o l’aggiornamento della modulistica, ma in base al principio della “ accountability “ ( responsabilizzazione ) dobbiamo poter dimostrare la compliance al GDPR dei trattamenti di dati personali effettuati. L’azienda dovrà essere in grado dunque di dimostrare in caso di incidente riguardante dati personali trattati, che si è adottato un sistema di trattamento del dato e studiati i migliori processi per garantirne la sicurezza e l’integrità.
Per le aziende con più di 250 dipendenti, o chi tratti dati “ rischiosi “ ( rischio per i diritti e le libertà degli interessati, o ad esempio, biometrici, genetici o dati personali relativi a reati o condanne penali, dati sensibili in genere ) è necessario introdurre il Registro dei Trattamenti.
E’ necessario introdurre la figura del Responsabile del Trattamento e del Data Privacy Officer ( Quest’ultimo, NON sempre necessario )
E’ necessario effettuare una Valutazione d’impatto sulla protezione dei dati in caso di trattamenti “ rischiosi “
In sostanza, la parte più semplice è la modulistica, ma è anche quella che, se analizzata senza prendere in considerazione come vengono trattati i dati all’interno dell’azienda, è la più pericolosa. Nel caso in cui vi sia un procedimento sanzionatorio, in base al principio di responsabilità, la sanzione sarà maggiore se l’azienda avrà solamente adottato misure di adeguamento della modulistica o produzioni cartacee e non avrà studiato le migliori soluzioni per proteggere e trattare i dati a norma.
SI RIPETE QUANTO GIA’ VISTO NEL 2003
Come nel 2003 ( vi ricordate in occasione del famoso DPS Documento programmatico sulla sicurezza? ) per la legge 196 anche in questo caso stiamo assistendo al fenomeno del ” tutti diventano esperti di privacy ” e dell’invio massivo di marketing ( che definisco più che informazione ” terrorismo pubblicitario ” ) riguardante gli obblighi derivanti dalla nuova normativa. Facciamo attenzione: l’unica strada percorribile per adeguare la Pubblica Amministrazione o qualsiasi azienda è quella della formazione e dell’informazione del personale in primis. Stilare documenti ( il documento di valutazione d’impatto sulla valutazione dei dati – il PIA ) in maniera automatizzata e con un professionista che semplicemente faccia domande del tipo ” quanti server avete ” ” quali gestionali utilizzate ” e/o “dove sono contenuti gli archivi cartacei ” è il modo migliore per crearsi problematiche future credendo di essersi messi ” in regola “.
COSA NON E’ INDISPENSABILE
Nel caso in cui NON esistano trattamenti di dati personali ( ad es. aziende che lavorano solamente nel B2B, o che trattano dati personali solo per finalità obbligatorie amministrative/richieste da norma – ad es. fatturazione ), non vi sono obblighi particolari.
Quindi, l’adeguamento e gli investimenti relativi al nuovo regolamento europeo VANNO verificati e misurati secondo ogni realtà aziendale ( PRIVACY by DESIGN ). Non è detto che le aziende “ grandi “ abbiano bisogno di più investimenti. Una società di professionisti che si occupi, ad esempio, di marketing o di promozioni, avrà certamente più necessità rispetto ad una azienda manifatturiera/produttiva che non ha rapporti diretti con l’utente finale.
SETTORI ” A RISCHIO “
Certamente, il settore sanitario, giuridico e del marketing risultano essere i più colpiti dalla nuova normativa, ma a differenza dell’impianto della 196/2003, in questo caso il legislatore richiede attenzione e responsabilità da parte del Titolare, e non parte dal sistema sanzionatorio o da mere regole tecniche, bensì lascia la possibilità di studiare ed implementare i processi di gestione ed i sistemi di salvaguardia più confacenti ad ogni esigenza.
DATA BREACH – PERDITA DI DATI
Il regolamento prevede un capitolo riguardante la perdita di dati. Oltre che essere notificata, va resa pubblica e va ( ovviamente ) con tutti i sistemi possibili evitata e ridotto il rischio di “data loss “. E’ necessario implementare dei sistemi di backup affidabili e, soprattutto, un sistema di CONTROLLO DELLE SORGENTI DATI.
CONCLUSIONI
Non è necessario investire denaro in consulenze per farsi redarre un documento di valutazione impatto privacy ” automatizzato “, redatto da una persona che vi faccia domande o addirittura ( come purtroppo sta succedendo ugualmente al 2003 con il ” documento programmatico sulla sicurezza ) che automaticamente si genera tramite un sito internet, la peggiore delle soluzioni è pensare di essere ” a norma ” avendo redatto il documento. E’ molto più semplice rilevare le eventuali criticità assieme al professionista che vi seguirà e redarre un piano operativo indicando dati REALI e verificando quali sono le possibilità di introdurre misure correttive partendo dalle problematiche più importante, oltre ad un indispensabile piano formativo per tutto il personale. Tutto questo, sempre commisurato alle tipologie di dati trattati ed alle metodologie di trattamento.
Per domande o quesiti, non esitate a contattarci all’indirizzo gdpr@itecc.it