Il General Data Protection Regulation (GDPR) richiede la definizione di una roadmap di adeguamento nelle aziende e nelle PA italiane. Questo nuovo regolamento, d'altronde, implica un ripensamento nella gestione degli aspetti di privacy e tutela dei dati personali all'interno delle organizzazioni.
Adeguarsi al GDPR vuol dire innanzitutto assicurare un’applicazione coerente e omogenea delle norme, quindi valutare le implicazioni su processi e sistemi già esistenti e infine stabilire l’impatto delle disposizioni. Il tutto per non attardarsi troppo rispetto all'ormai noto 25 maggio 2018, data in cui il Regolamento è divenuto applicabile.
L'adeguamento al GDPR in punti
Da un punto di vista pratico, il modello di adeguamento al Regolamento Europeo si può articolare in 9 fasi, che descriveremo di seguito. La numerazione progressiva non significa che le attività devono essere necessariamente consequenziali, posto che, per esempio, la fase 5 inerente alla definizione delle politiche di sicurezza e la valutazione dei rischi e la fase 7 inerente alla valutazione di impatto devono essere svolte tipicamente in modo contiguo a valle del registro dei trattamenti.
Ciò detto, possiamo descrivere, sintetizzandole, le principali caratteristiche delle singole fasi:
- valutazione della compliance;
- creazione del registro dei trattamenti;
- stesura e modifica della documentazione;
- individuazione di ruoli e responsabilità;
- definizione delle politiche di sicurezza e valutazione dei rischi;
- processo di Data Breach;
- valutazione d'impatto sulla protezione dei dati personali;
- processi per l'esercizio dei diritti dell'interessato;
- nomina del Data Protection Officer (DPO)
1 - Compliance GDPR
Le singole imprese, per conformarsi ai nuovi obblighi previsti dal GDPR, dovranno preliminarmente raccogliere tutte le informazioni sull’organizzazione aziendale analizzando e valutando la documentazione in uso e le scelte di adeguamento normativo effettuate in passato.
Qualora, a seguito di tale valutazione, emerga una non conformità alle nuove disposizioni, sarà necessario per l’impresa predisporre un piano di intervento volto a definire le procedure interne da implementare al fine di evitare di incorrere in sanzioni. Questo attraverso due fasi:
- analisi dell’organizzazione aziendale e studio della documentazione, volta a comprendere l’organizzazione stessa e a mappare gli eventuali gap da colmare;
- predisposizione del piano di intervento per l’adeguamento al GDPR (tabellazione della normativa applicabile in ragione delle specificità dei singoli settori e stesura di un piano di intervento).
In pratica, per poter adempiere al GDPR, occorre prima di tutto svolgere una identificazione, comprensione e classificazione dei requisiti normativi indicati nel Regolamento stesso, monitorando costantemente l’uscita di disposizioni e linee guida emanate dalle diverse Autorità competenti (es. Guidelines on DPOs, WP29, del 5 aprile 2017).
È necessario quindi compiere un’analisi del contesto di riferimento in cui opera la società oggetto di adeguamento (es. peculiarità del settore di business, anche sotto il profilo del trattamento di dati personali), raccogliere e analizzare la documentazione organizzativa, tecnologica e legale disponibile (es. informative, moduli di consenso, mappatura applicazioni e servizi utilizzati, censimento data processor, ecc.).
2 - Registro dei trattamenti dei dati personali
Il registro dei trattamenti, disciplinato dall’art. 30 del Regolamento, è un documento volto a tenere traccia delle operazioni di trattamento effettuate e contenente i dati del titolare e degli eventuali responsabili, le finalità del trattamento stesso, una descrizione delle categorie di interessati e dei dati personali, i destinatari, gli eventuali trasferimenti verso Paesi terzi e una descrizione generale delle misure di sicurezza. Il registro dei trattamenti ha una duplice finalità:
- uno strumento operativo di lavoro mediante il quale censire in maniera ordinata i trattamenti e gli altri elementi rilevanti per assicurare una corretta gestione dei dati personali;
- un documento con valore probatorio mediante il quale il Titolare del trattamento privacy deve poter dimostrare di aver adempiuto alle prescrizioni del GDPR nell’ottica del generale principio di accountability.
Il registro dei trattamenti deve contenere una serie di dati obbligatori imposti dal GDPR, ma può comprendere anche elementi aggiuntivi che risulteranno utili sia per lo svolgimento delle fasi successive del piano di adeguamento al GDPR sia per il lavoro di chi si dovrà occupare della materia privacy, compreso il Data Protection Officer.
È bene ricordare le imprese con meno di 250 dipendenti sono esonerate dall’obbligo di tenere il registro dei trattamenti (art. 30 co. 5 del GDPR). Fanno eccezione alcune specifiche ipotesi (ad esempio, qualora il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato).
3 - Stesura e modifica della documentazione
È importante che la documentazione risulti completa ed aggiornata secondo le prescrizioni del nuovo Regolamento (solo come esempio è bene ricordare che il GDPR impone che le informative abbiano un contenuto più ampio rispetto a quanto stabilito dalla vigente normativa).
4 - Individuazione dei ruoli e delle responsabilità
È tassativamente necessario, sulla base della nuova normativa, individuare e contrattualizzare tutti i responsabili del trattamento. Per molti settori di mercato, anche alla luce delle linee guida specifiche del WP Article 29, è inoltre indispensabile provvedere alla nomina di un Data Protection Officer.
5 - Politiche di sicurezza e analisi dei rischi
Tenuto conto della natura, dell'ambito di applicazione e delle finalità del trattamento, nonché dei diversi rischi per i diritti e le libertà delle persone fisiche, ogni Titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire e dimostrare la conformità del trattamento stesso al Regolamento.
Tale condotta, espressione del principio di responsabilizzazione o accountability (vedi artt. 24 e 5, co. 2 ), nasce dalla volontà del Legislatore Europeo di lasciare maggiore discrezionalità ai titolari del trattamento:
- nella definizione delle politiche da adottare;
- nell’individuazione della metodologia più compatibile con l’organizzazione aziendale;
- nell’analisi e valutazione dei rischi che potrebbero sorgere in relazione alla violazione del trattamento dei dati personali.
Tale fase è ulteriormente suddivisibile in 3 macro-attività.
- Definizione della metodologia di analisi dei rischi: il GDPR contiene continui richiami al concetto di rischio (es.: artt. 25, 32 e 35) e, dunque, alla necessità di definire le azioni da adottare prendendo in considerazione l’origine, la natura e la gravità del rischio stesso;
- Effettuazione dell’analisi del rischio e gap analysis
- Definizione del piano di intervento: una volta effettuata l’analisi dei rischi in base alla metodologia individuata in precedenza, dovrà essere predisposto un piano di intervento contenente le misure tecniche ed organizzative più opportune da adottare per garantire un livello di sicurezza adeguato al rischio stesso (art. 32).
6 - Data Breach GDPR
Con il termine “Data Breach” si intende il complesso di adempimenti attribuiti al Titolare del trattamento, da porre in essere a seguito della violazione dei dati personali. La violazione, a sua volta, va intesa come «la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati».
Pertanto, ai sensi dell’art. 33 del Regolamento, nel caso in cui si verifichino violazioni di dati personali, il Titolare ne deve dare comunicazione all’Autorità di Controllo entro 72 ore dall’avvenuta conoscenza della violazione e, nei casi più gravi, anche agli interessati. I Titolari del trattamento dovranno assicurare di aver adottato procedure idonee a scoprire eventuali violazioni, generare adeguata reportistica e indagarne le cause nonché gli effetti.
Qualora la violazione dei dati presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare comunica la violazione all’interessato senza ingiustificato ritardo (art. 34), fatta eccezione per alcune ipotesi previste dalla norma (ad esempio, qualora detta comunicazione richiederebbe sforzi sproporzionati). È quindi necessario che la gestione dei casi di violazione dei dati venga formalizzata in apposita procedura adottata da ciascuna impresa.
7 - Valutazione d’impatto
La necessità di assicurare trasparenza nelle operazioni di trattamento dei dati personali e adeguata protezione agli stessi, implica che il Titolare effettui precise e adeguate valutazioni d'impatto. Anche sulla base di tali valutazioni, egli identifica le misure di sicurezza fisiche, logiche e organizzative adeguate per minimizzare i rischi dei singoli trattamenti. La valutazione d'impatto assume un'utilità e una centralità ancor più evidente alla luce delle più recenti strumentazioni informatiche e telematiche e dei trattamenti di dati che possono essere svolti tramite le tecnologie avanzate.
8 - Diritti dell’interessato e portabilità dei dati
Il GDPR, oltre a ribadire le prerogative concesse agli interessati dalla attuale normativa, introduce in modo puntuale il diritto alla portabilità dei dati e il diritto all’oblio. È fondamentale quindi che nel progetto di adeguamento al Regolamento Generale il processo di gestione dell’eventuale attivazione di tali diritti da parte di uno o più interessati del trattamento sia oggetto di apposita procedura di dettaglio.
9 - La figura del Data Protection Officer (DPO)
Il GDPR prevede la nuova figura del Data Protection Officer o Responsabile della Protezione dei Dati, la cui nomina è obbligatoria in una serie di ipotesi previste dall’art. 37 del Regolamento, ad esempio qualora le attività principali del Titolare/Responsabile del trattamento consistano nel trattamento su larga scala di categorie particolari di dati personali.
Il DPO è una figura la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda, affinché questi siano regolati nel rispetto delle normative sulla privacy europee e nazionali. Il Data Protection Officer deve svolgere le attività a lui demandate dal GDPR tra cui le seguenti funzioni:
- informare e consigliare il Titolare o il Responsabile in merito agli obblighi del Regolamento;
- verificarne l’applicazione e l’attuazione;
- fornire pareri e fungere da punto di contatto sia con gli interessati che con il Garante.
Perché il DPO possa svolgere le proprie funzioni in modo efficace, inoltre, è necessario che:
- abbia precise competenze giuridiche, informatiche, di risk management e di analisi dei processi;
- goda di indipendenza e autonomia;
- possa interfacciarsi con le figure chiave dell’azienda, al fine di valutare i rischi connessi ai trattamenti e suggerire quali misure adottare.
- Autore
Giurista, Responsabile Scientifico Osservatorio Information Security & Privacy Politecnico di Milano, Adjunct Professor MIP-Politecnico di Milano.
Gli ultimi articoli di Gabriele Faggioli
-
Big data e privacy: la protezione dei dati personali 08 maggio 2023
-
Smart Working e GDPR: quale impatto per la Privacy dei lavoratori? 04 novembre 2022
-
PSD2 e Fintech: quali regole per i servizi di condivisione dati? 04 settembre 2019
Rimani aggiornato sui trend dell’Innovazione Digitale
Inserisci qui la tua email
Potrebbe interessarti
Il Decreto di adeguamento al GDPR in Italia
Il GDPR è realtà: come adeguarsi in 9 passi
Articoli più letti