Oltre la Privacy: Accountability e Data Protection.

Col Nuovo Regolamento UE 2016/679  assistiamo ad un cambio di paradigma: col superamento della "Privacy" si introduce il concetto di "Protezione dei Dati Personali" facendo un notevole passo in avanti. Vengono di conseguenza introdotte nuove tutele a favore degli interessati e, inevitabilmente, nuovi obblighi a carico di Titolari e Responsabili del Trattamento.

In questo articolo vedremo cosa significa "Tutela dei Dati" e quali sono le conseguenze per le imprese.

Ricordiamo, per inciso, che Il Regolamento Europeo è entrato in vigore il 25 maggio 2016 e si applicherà in tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale le aziende dovranno adeguarsi alla nuova legge sulla privacy. Data la complessità della materia e degli adempimenti previsti non è saggio attendere l'ultimo momento per mettersi in regola.

Un concetto fondamentale introdotto dal Nuovo Regolamento UE è quello dell'accountability; la normativa fino ad oggi in vigore ( Dlgs 196/2003) era tutta incentrata sui diritti dell’interessato mentre la prospettiva della disciplina europea è tutta incentrata sui doveri e sulla responsabilizzazione del titolare del trattamento.

Non si tratta di adempiere ad obblighi solamente formali, ma di applicare effettivamente una serie di misure all’interno dell’organizzazione o azienda e che tale applicazione venga verificata e, soprattutto, che sia dimostrabile. Il titolare del trattamento non solo ha la responsabilità di garantire il rispetto dei principi applicabili al trattamento di dati personali (“liceità, correttezza e trasparenza”, “limitazione della finalità”, “minimizzazione dei dati”, “esattezza limitazione della conservazione” e “integrità e riservatezza”) ma deve essere in grado di dimostrare che tali "principi" siano stati applicati.

E' obbligo del titolare del trattamento, quindi, mettere in atto tutte le misure tecniche e organizzative adeguate a garantire che il trattamento venga effettuato in modo conforme al Regolamento. Non solo: deve riesaminare ed aggiornare periodicamente tali misure e deve essere in grado di dimostrare che siano adeguate alla corretta gestione e protezione dei dati.

Diventa quindi rilevante la possibilità di dimostrare documentalmente le scelte fatte dal titolare del trattamento.

Entrano in gioco, oltre al concetto di "accountability", anche quelli di "Data breach", "privacy by default e by design", la nuova figura del DPO (Data Protection Officer). 

Non saremo esaustivi di tutti i concetti in questo breve articolo: nei prossimi affronteremo uno alla volta tutti i concetti e le novità che riguardano il nuovo regolamento.

Possiamo però iniziare col dire che la privacy deve essere vista quindi come un elemento iniziale: devo pensare, appena decido una attività che comporti la raccolta di dati, a come predisporre i livelli di protezione nel trattamento, pianificare le attività legate al trattamento stesso ed alla protezione dei dati.

Le aziende dovranno attrezzarsi con strumenti, hardware e software, competenze, conoscere la normativa o affidarsi a risorse esterne qualificate, e che sarà necessario, per i titolari, essere in grado di documentare tutto il processo che ha portato alla definizione del registro dei trattamenti, alla valutazione di un determinato rischio in materia di sicurezza, alla decisione di notificare o meno agli interessati un “data breach” e di aver attuato in relazione ad un nuovo trattamento le necessarie valutazioni e misure legate alla “data protection by design”. 

A titolo esemplificativo e non esaustivo, per garantire l'aderenza alle disposizioni del GDPR, le aziende dovranno avere la capacità di definire, gestire e documentare, ma soprattutto attuare, alcuni principali processi che elenchiamo di seguito:

1. identificare, formalizzare e mantenere la mappatura dei ruoli con le responsabilità organizzative in ambito Data Protection;
2. gestire un Registro dei Trattamenti e procedere a una valutazione periodica degli stessi;
3. valutare l’impatto e il rischio di ogni specifico trattamento e procedere a un assessment periodico (Protection Impact Assessment, PIA);
4. definire le misure di sicurezza (tecniche e organizzative) idonee in relazione alla valutazione del rischio, governando il grado di attuazione;
5. gestire il remediation plan delle misure di sicurezza non adottate;
6. gestire il processo “Privacy by Design” sui nuovi trattamenti introdotti;
7. gestire il registro delle richieste degli interessati e i relativi processi di presa in carico delle richieste;
8. gestire il registro degli incidenti (violazioni, accessi non autorizzati, ecc.);
9. gestire il processo di audit sui controlli identificati.

E' importante quindi capire il valore dell'approccio digitale per affrontare correttamente le esigenze di protezione dei dati personali legate el nuovo regolamento europeo.

In un tale contesto l'utilizzo di strumenti tradizionali di office automation (ad esempio Excel per la gestione dei dati, cartelle di file manager per la gestione dei documenti e le mail per la gestione dei processi) non può più essere considerato all’altezza di gestire un tale livello di complessità. Questi strumenti nell’immediato offrono un grosso vantaggio economico ma nel tempo, la complessità porterà inevitabilemte a un’alta dispersione di energie per la gestione e potrebbero rivelarsi insufficienti o inutili al fine cautelarsi nei confronti di un rischio crescente e, di conseguenza, non rispondere completamente ai requisiti richiesti dalla normativa, perdendo così valore a fini probatori.

Per un approfondimento scarica la "Prima Guida al nuovo Regolamento europeo in materia di protezione dati personali".

Se questo articolo ti è stato utile faccelo sapere! Inserisci un tuo commento in calce o condividilo su Facebook. 

Se vuoi maggiori informazioni o hai bisogno di aiuto, contattaci compilando il form che si aprirà cliccando il bottone qui sotto: non ti costerà nulla.