Uno dei temi di massimo interesse in questi mesi è relativo all’adeguamento al GDPR, in particolare come adeguarsi alla privacy alla luce della nuova normativa europea.

Con l’introduzione del nuovo Regolamento europeo in materia di protezione dei dati personali, noto come GDPR, le aziende devono abbandonare il tipico approccio di adeguamento formale per passare ad un lavoro di adeguamento al GDPR sostanziale per la tutela dei dati degli interessati.

GDPR: cosa fare per mettersi in regola

Il GDPR chiede alle aziende di implementare una politica di riduzione dei rischi e di massima trasparenza nei confronti degli interessati.

La riduzione dei rischi passa soprattutto attraverso un lavoro di adeguamento tecnico e organizzativo: eliminare vulnerabilità, dotarsi di soluzioni tecnologiche adeguate, rivedere i processi e le modalità operative.

La trasparenza verso gli interessati richiede invece la reale intenzione di comunicare in maniera semplice ma esaustiva nei confronti degli interessati allo scopo di far capire loro effettivamente come vengono trattati i dati, a chi vengono eventualmente ceduti e a collaborare nei casi in cui l’interessato voglia conoscere cosa è stato fatto dei propri dati, voglia portarli via o ne chieda la cancellazione.

Il principio di accountability implica quindi l’adozione di misure tecniche e modelli organizzativi che garantiscano la corretta gestione e conservazione dei dati in maniera conforme ai principi del regolamento e la capacità di dimostrare tale conformità nelle operazioni di trattamento svolte.

É quindi evidente cosa fare per mettersi in regola con il GDPR: non limitarsi a compilazione e predisposizione di documenti “tanto per farlo”, ma avere un approccio realmente finalizzato alla tutela dei dati degli interessati.

Come adeguarsi alla privacy: le varie fasi

Per adeguarsi alla privacy secondo le nuove regole del GDPR occorre innanzitutto precedere con una fase preliminare di analisi dello stato dell’arte: questionari, interviste, analisi dei locali fisici, analisi di procedure e documentazione sono le prime azioni da porre in essere per conoscere la realtà presso la quale si sta intervenendo.

Dovendo rivedere anche tutta la parte organizzativa è importante un’analisi di tutti i regolamenti e procedure per valutare le modalità operative con le quali l’azienda opera e istruisce il personale.

Una volta presa cognizione dello stato dell’arte e rilevate le criticità e le lacune occorre intervenire per contenere le minacce e colmare il gap.

Anche in questo caso non si tratta solo di una mera compilazione di documenti ma di un’analisi reale anche dal punto di vista tecnico e organizzativo che potrebbe richiedere una DPIA (Data Protection Impact Assessment, o in italiano valutazione d’impatto del trattamento di dati personali).

La DPIA è una procedura volta a valutare la reale necessità del trattamento e la proporzionalità, oltre che l’incidenza dell’operazione di trattamento esaminata. Si tratta di una procedura non da eseguire una tantum ma in maniera ciclica, ogni volta che viene introdotto un nuovo trattamento o viene variato il processo di un trattamento ad esempio introducendo nuove soluzioni tecnologiche.

La DPIA non va vista come un inutile fardello poiché consente di evitare di notificare al garante il trattamento dei dati personali.

Naturalmente la definizione di modelli di documenti va sempre prevista: modelli informative privacy, consenso al trattamento dei dati, registro dei trattamenti, informativa sulla videosorveglianza.

Ma anche definire procedure per rispondere in maniera chiara e celere a richieste di accesso degli interessati così come a richieste di cancellazione e a richieste di portabilità dei dati.

Altra gruppo di procedure da sviluppare sono relative alla gestione dei data breach, ovvero a situazioni in cui si ha un errato trattamento del dato o a una fuoriuscita o una perdita di dati personali, con la creazione di un registro dei data breach.

Adempimenti privacy per aziende

Il GDPR non prevede delle soluzioni standard valide per tutti: ogni decisione va ponderata e presa in maniera sartoriale. Diffidare quindi sempre di chi offre soluzioni generiche o software privacy GDPR in grado di risolvere tutte le esigenze di adempimenti privacy per le aziende.

É fondamentale che ci sia una governance interna che valuti e prenda decisioni a seconda del caso in esame, calandolo nella reale organizzazione e tenendo conto dei processi produttivi.

Ogni valutazione quindi deve tenere conto della privacy sin dalla fase di progettazione (privacy by design) e come impostazione predefinita (privacy by default).

Nomina DPO

Alla luce di tutte le considerazioni esposte, pur prevedendo solo in alcuni casi l’obbligo di nomina DPO (Data Protection Officer), la possibilità di nominare un DPO è senza dubbio un aspetto da non sottovalutare: il DPO è la figura prevista dal GDPR che già esisteva sotto il nome di CPO (Chief Privacy Officer) che si occupa di valutare l’effettiva implementazione del modello adottato aiutando l’azienda nella valutazione di ogni nuova implementazione e nel dialogo con l’Autorità Garante della Protezione dei dati personali.

Per rispondere quindi alla domanda originaria “Come adeguarsi al GDPR” è utile far presente che la nomina del DPO potrebbe essere un’opportunità da cogliere sin dalle prime fase come una sorta di “capoprogetto” che non a valle del processo di adeguamento.

BIT4LAW offre questo servizio già per diverse aziende, contattati se hai bisogno di nominare un DPO.