Regolamento Europeo per la protezione dei dati personali GDPR
Come adeguarsi al Regolamento Generale UE sulla protezione dei dati personali
"Il costante aumento della raccolta di informazioni personali ha generato un certo interesse economico. I conseguenti costi per le violazioni di dati hanno costretto i governi ad attuare severe leggi di conformità per proteggere i dati personali dei cittadini. Anche l'Europa si è inserita in questo ambito emanando un regolamento per la protezione dei dati personali, conosciuto meglio come GDPR con la finalità di migliorare i metodi di trattamento dei dati, aumentare la protezione dei dati e portare armonizzazione nella protezione di dati sensibili in tutte le nazioni."
Tutto ciò che bisogna fare, in breve
Il percorso verso la conformità (Compliance), in pochi passaggi:
- Fare un elenco dei trattamenti chiedendosi:
- Quali dati trattiamo e di chi?
- Per quali finalità?
- Con quali strumenti?
- Come li trattiamo?
- Chi può accedere a queste informazioni?
- Dove sono archiviati fisicamente?
- Esistono backup? Dove si trovano (UE o extra UE)?
In questa fase può essere di aiuto recuperare tutti i documenti redatti in ottemperanza al Decreto Legislativo n. 196 del 30 giugno 2003, (Legge sulla Privacy).
- Compilare il REGISTRO DI TRATTAMENTI, in molti casi non obbligatorio (es. per le imprese sotto i 250 dipendenti) ma consigliato dal Garante.
In sostanza si tratta di una "mappa" di tutti i trattamenti effettuati, come previsto dall'art. 30 del regolamento.
- Effettuare una corretta ANALISI E VALUTAZIONE DEI RISCHI individuando i rischi connessi ai trattamenti e le misure da adottare in ambito:
- sicurezza dei dati trattati e delle procedure di trattamento
- sicurezza dei luoghi dove vengono conservati i dati
- controllo degli accessi
- backup dei dati
- disaster recovery plan
- difesa contro malware e difesa perimetrale
- valutazione e correzioni delle vulnerabilità
- In presenza di dati ad elevata rischiosità, effettuare una VALUTAZIONE DI IMPATTO (DPIA - Data Protection Impact Assessment) come previsto dall'art. 35.
La DPIA consente l'identificazione e la prevenzione delle violazioni dei dati in fase iniziale, in modo da ridurre il danno che potrebbe verificarsi, in termini di costo.
Se le misure individuate dopo la DPIA non contribuiscono a ridurre l'impatto, sarà necessario ricorrere ad una CONSULTAZIONE PREVENTIVA DEL GARANTE oppure desistere dall’effettuare quel tipo di trattamento.
- Attuare un piano di verifica e controllo dei RESPONSABILI DEL TRATTAMENTO che trattano i dati per nostro conto (es. il commercialista, il consulente del lavoro, l’avvocato, l’amministratore di sistema, ecc.) previa valutazione della loro affidabilità. In tal senso sarà opportuno stipulare un CONTRATTO CON CIASCUNO DEI RESPONSABILI DEL TRATTAMENTO e attivare una procedura per verificare che anche loro facciano lo stesso con i rispettivi sub-Responsabili.
- Adottare quotidianamente un atteggiamento volto a considerare la privacy e la protezione dei dati personali, quale componente base della nostra attività, fin dall’ambito progettuale di ogni nuovo servizio o prodotto (in linea con i concetti di PRIVACY BY DESIGN e PRIVACY BY DEFAULT)
La responsabilià è del titolare (Accountability)
Tutti i titolari che trattano dati personali dovranno conoscere le nuove regole al fine di adeguarsi per non rischiare di incorrere in pesanti sanzioni. Per «Dato personale» si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
L’aspetto principale da conoscere è che il GDPR non prevede meri adempimenti burocratici da rispettare, ma sostanza da implementare. Di conseguenza sarà necessario:
- Conoscere i principi del GDPR e la situazione della propria azienda (e dei propri trattamenti) rispetto ai requisiti del GDPR.
- Implementare le azioni necessarie, in relazione alla propria situazione: ad esempio adeguare le informative privacy, formare i propri collaboratori sulle regole del GDPR e sulle procedure aziendali per essere conformi, verificare che la propria infrastruttura informatica sia adeguatamente protetta, ecc. Gli obblighi previsti sono scalari, cioè si richiede al Titolare uno sforzo proporzionato non solo all’impatto del suo trattamento, ma anche alle sue risorse.
- Dopo aver effettuato gli opportuni interventi di adeguamento alla norma, i Titolari dovranno fare in modo che le procedure vengano rispettate nel tempo e che ogni novità aziendale sia conforme al GDPR. Per fare un esempio, in caso di assunzione di un dipendente, bisognerà fare in modo che questi venga subito messo a conoscenza delle regole da seguire e dotato degli strumenti per farlo.
- Su richiesta delle autorità competenti, il Titolare dovrà essere in grado di dimostrare che sta trattando i dati personali altrui in conformità al nuovo Regolamento.
Consulenza a 360°
L’adeguamento normativo e tecnologico consiste nell’attuare un piano di intervento volto a sanare le non conformità: una consulenza dedicata è consigliata per implementare le procedure necessarie e le soluzioni tecnologiche più adatte, affiancando l’azienda in tutte le attività necessarie all’allineamento dell’organizzazione al regolamento. E’ importante comprendere che l’adeguamento comporta il coinvolgimento del titolare con un team di figure competenti in ambito legale e in ambito informatico.