Cominciamo con una buona notizia
Il GDPR disciplina la protezione dei dati personali ma anche la loro libera circolazione. Suona strano? Eppure sono parole testuali, forse non sufficientemente citate, del Regolamento europeo n. 2016/679, conosciuto come GDPR. Ovviamente tale libera circolazione incontra il limite del diritto alla protezione dei dati personali degli interessati. Ma il punto è un altro. Il legislatore europeo ha voluto farci notare che è ben consapevole dell'importanza della circolazione dei dati personali nella cosiddetta New Economy, e che la tutela dei diritti civili non può strangolare le economie. Si tratta quindi di trovare un punto di equilibrio tra i due beni protetti dalla norma: il dato personale e la libera circolazione del dato stesso.
Tre principi fondamentali
ResponsabilizzazioneIl Rregolamento Europeo introduce il principio di “responsabilizzazione”
("accountability" in inglese) di titolari e responsabili del trattamento, consistente nell’ adozione di comportamenti proattivi finalizzati all'applicazione del Regolamento, al di là delle norme specifiche. |
Privacy by designOgni operazione relativa al trattamento dei dati personali deve essere progettata insieme alle misure tecniche/organizzative idonee alla protezione dei dati personali .
|
Privacy by defaultLa protezione dei dati personali deve costituire l'impostazione predefinita di qualsiasi iniziativa volta al trattamento dei dati personali .
|
Dieci Azioni da compiere
Censimento dei trattamentiUna prima operazione da compiere per rendere conforme l'organizzazione/azienda al GDPR: censire i trattamenti di dati personali in essere, annotandone alcune caratteristiche principali.
|
Informazioni agli interessatiOgni trattamento (salve rare e specifiche eccezioni) deve essere preceduto dalla comunicazione agli interessati delle informazioni circa alcune caratteristiche del trattamento stesso.
|
Raccolta del consensoLa base che rende legittimo un trattamento è normalmente il consenso dell'interessato. Esistono però altre basi giuridiche per cui il consenso non è richiesto.
|
Registro dei trattamentiE' un documento (anche digitale) nel quale sono annotate le caratteristiche principali di tutti trattamenti in essere presso l'organizzazione/azienda. È obbligatorio solo quando il titolare/responsabile abbia più di 250 dipendenti ma è vivamente consigliabile a qualsiasi titolare.
|
Misure di protezioneSono misure di protezione tecniche (come ad esempio la protezione dei pc con la password o la crittografia delle unità di memoria) ed organizzative (come la definizione di procedure aziendali) a tutela dei dati personali.
|
Valutazione di ImpattoSi tratta di una procedura eventuale, consistente nella valutazione dell'impatto di un trattamento sui diritti e le libertà personali degli interessati, necessario qualora questi possano essere messi in pericolo dal trattamento stesso.
|
ContrattiIl GDPR stabilisce che il rapporto tra il Titolare del trattamento (quindi l'azienda/organizzazione quando determini i mezzi e le finalità del trattamento) e il Responsabile del Trattamento ( ossia il soggetto esterno all'azienda/organizzazione che esegue il trattamento per conto del titolare). Anche il rapporto tra contitolari dovrà essere contrattualizzato.
|
Data BreachSi tratta diuna procedura eventuale, da attivare con urgenza nel caso in cui vi sia stata una violazione (minaccia alla disponibilità, integrità o riservatezza) dei trattamenti dei dati personali. In certi casi deve concludersi con una notifica all'Autorità Garante e agli interessati
|
Diritti degli interessatiOgni titolare di trattamenti di dati personali deve essere in grado di rispondere prontamente ad eventuali richieste da parte degli interessati circa i propri dati personali.
|
Nomina del DPO
Il responsabile Della Protezione Dei Dati, conosciuto più comunemente con l'acronimo DPO (che sta per Data Protection Officer) è una figura che facilita l'attuazione del regolamento da parte dei titolari/responsabili dei trattamenti di dati personali. Ha compiti di sensibilizzazione, formazione del personale ma anche di sorveglianza. La sua designazione da parte dell'azienda/organizzazione è obbligatoria per gli organismi pubblici (ad eccezione di quelle giurisdizionali), nel caso in cui i trattamenti consistano nel monitoraggio regolare sistematico degli interessati su larga scala oppure nel trattamento su larga scala di dati particolari (cosiddetti "dati sensibili") o relativi a condanne penali.
Chi è costui?
L'entrata in vigore del GDPR ha rappresentato una ghiotta occasione per molte persone senza competenza, esperienza e preparazione specifica, che hanno visto spalancarsi un mercato in cerca di professionalità in grado di traghettare organizzazioni/aziende verso l'adeguamento normativo.
Purtroppo, consulenti impreparati possono fare danni, anche importanti. Il suggerimento è di rivolgersi a professionisti di attestata competenza, formazione ed esperienza sia per quanto riguarda la mera consulenza relativa al GDPR, sia per quanto riguarda la protezione tecnico/organizzativa dei dati personali (ad esempio consulenti ITC). |