Gli adempimenti indispensabili da mettere in atto entro il 25 maggio sono sette:

  1. Preparare il registro dei trattamenti scritto.
  2. Verificare le informative e i consensi.
  3. Fare un risk assessment.
  4. Verificare di avere preparato misure di sicurezza adeguate.
  5. Definire la governance privacy, ossia la squadra GDPR: il Titolare, i Responsabili del trattamento, il Data Protection Officer.
  6. Prepararsi alla valutazione di impatto privacy definendo una metodologia.
  7. Adozione di procedure in caso di perdita dei dati, portabilità e di richieste da parte degli utenti interessati (diritto all’oblio), che sono da soddisfare entro 30 giorni dall’arrivo della richiesta.

 

Analizzare il GDPR a tre mesi dall’entrata in vigore significa esaminare da un lato i concetti generali del regolamento e dall’altro le linee guida approvate dai Garanti UE.

Il regolamento, infatti, contiene un nucleo di regole che incidono sulla normativa nazionale, ma non la sostituiscono completamente: alcune rimangono in vigore. E la situazione di aggiornamento delle norme di completamento in Italia non è ancora terminata.

A livello di concetto generale, il regolamento GDPR innanzitutto protegge i dati personali dei cittadini, per tutelarli dall’invadenza dello Stato prima, e poi delle imprese.

 

Principi da applicare in sequenza

Con il GDPR l’informativa e la base giuridica del trattamento dei dati rimangono, compreso il consenso, che però dovrà essere un’eccezione, in quanto in base a quanto detta il regolamento non sarà facile ottenerlo. Nella maggior parte delle ipotesi le imprese useranno i dati su un impianto che non prevederà l’acquisizione del consenso.

Approccio basato sul rischio: dato che il detentore dei dati personali è responsabilizzato, prima deve fare un assessment, sapere che dati personali ha in casa, poi creare il registro dei trattamenti e fare la valutazione di rischio dei vari trattamenti. E in questo contesto non esiste più il rischio minimo, ma il concetto di misura di sicurezza necessaria allo scopo.

Dopodiché si applicano i concetti richiesti di privacy by design e by default, che se fatti bene possono creare nuovi servizi di profilazione nel rispetto del regolamento.

Il log della trasmissione dei dati

La richiesta di accesso ai dati e di diritto all’oblio da parte del cittadino si applicano non solamente all’azienda chi riceve la richiesta, ma anche a coloro a cui quei dati sono stati trasmessi. In pratica, per ottemperare alla richiesta di cancellazione bisogna tenere il log della trasmissione dei dati. E quindi serve avere una infrastruttura di trasmissione dati il più possibile standard.

Attacchi, furti, smarrimenti, e sanzioni

Quando si subisce un attacco, va trasmessa al garante la cosiddetta Data breach notification. Ma non si parla solamente di un attacco infromatico. Diventa una data breach notificabile anche la banale perdita del computer: entro le 72 ore anche questa va notificata al garante l’evento, con dettaglio di quanto successo e sulle attività di mitigazione. Ma se il computer era crittato l’obbligo di notificazione non scatta.

E poi in alcuni frangenti, c’è da tenere la valutazione di impatto privacy: al ricorrere di determinate condizioni occorre descrivere i trattamenti e le misure di sicurezza con cui si intende trovare la soluzione: si va dal garante e si sottopone la valutazione di impatto.

Se non si fanno tutte queste cose, l’autorità applica le tanto temute sanzioni che, è bene ripeterlo, nella logica del regolatore non devono esseere punitive, ma dissuasive.

Per la Pubblica amministrazione si va su una scala che parte dalla diffida amministrativa, passa dalla tappa significativa dei 10 milioni di euro e arriva fino a 20 milioni di euro.

Per le imprese si va dal 2 al 4% del fatturato totale mondiale annuo.

Teniamo presente che nelle linee guida tradotte dal garante, il concetto di impresa è ampio e si guarda l’unitarietà di impresa, cioè al gruppo. Pertanto viene scoraggiato “isolare” le responsabilità di trattamento di dati a periferie del gruppo o a società controllate: la valutazione sarà fatta coralmente.

Dati sensibili e non

E’ un dato personale anche un identificativo online, oltre alle solite categorie di dati sensibili. Non sono ritenuti sensibili, invece, i dati economici e l’età. I dati genetici e biometrici lo sono, sia quelli statici (iride) sia quelli dinamici, come la camminata.

Una recente interpretazione dice che i dati delle imprese non rientrano nella categoria dei dati personali (fatturazione, iscrizione albi) ma essendo queste fatto di persone, hanno dentro i dati personali.

Il principio dell’accountability

Principio base del GDPR è l’accountability, che è fatto di responsabilizzazione e documentazione. Si tratta di un principio che supera il burocratico trattamento della privacy del passato e ruota attorno le figure del titolare, del responsabile del trattamento e del Data Protection Officer (Dpo).

Con il GDPR si demanda al titolare del trattamento dei dati di scegliere quali sono gli strumenti adatti per implementare il regolamento. C’è quindi un’azione personale.

Come si applica il principio?

Il titolare del trattamento rimane tale, ma ora deve decidere come muoversi e documentare le sue azioni.

Il responsabile del trattamento è colui che lavora i dati. Ma i responsabili non saranno più internamente all’azienda, saranno esterni, in outsourcing. Con in più il fatto che la loro nomina ora deve avvenire  attraverso un contratto dettagliato.

Il Data Protection Officer è una figura consulenziale, dialoga con il titolare del trattamento e lo consiglia.

Situazione normativa

Il Governo italiano ha ricevuto la delega dal Parlamento per abrogare le disposizioni del codice privacy incompatibili con il GDPR, modificare il codice privacy ove necessario, coordinare le disposizioni, adottate specifici provvedimenti. La delega scade il 21 maggio, sempre che si riesca a esercitarla, per via del rinnovo del Parlamento dopo le elezioni del 4 marzo.

 

Fonte: 01Net, 20 febbraio 2018, Dario Colombo, GDPR in azienda, il parere dell’avvocato

Dati Aziendali | Privacy e Cookie policy | Mappa del sito | OWA | FILE | ERP