Gdpr

 

Il nuovo Regolamento UE sulla protezione dei dati personali sarà pienamente applicabile esattamente tra un anno, ma in molti casi richiede modifiche organizzative e investimenti in tecnologie tali da richiedere una pianificazione fin da subito. Ecco le novità più significative e gli elementi principali su cui impostare il programma di adeguamento.

 

Il General Data Protection Regulation (GDPR), ovvero il Regolamento UE n. 679/2016 sulla protezione dei dati personali (o Regolamento sulla privacy), è entrato in vigore Il 24 maggio 2016, ma diverrà pienamente applicabile dal 25 maggio 2018, abrogando la Direttiva 95/46/CE.

Un primo elemento emerso è che il regolamento GDPR non vale per gli accordi di trasferimento di dati personali verso Paesi terzi e organizzazioni internazionali, conclusi prima dell’entrata in vigore del Regolamento. Tali accordi resteranno in vigore fino alla loro sostituzione, revoca o modifica, così come i provvedimenti dell’Autorità Garante e le decisioni della Commissione UE. Inoltre, rispetto ai trattamenti ancora in corso al 25 maggio 2018, non è necessario che l’interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alla nuova disciplina.

Anche se le aziende hanno a disposizione un anno per potersi adeguare, alcune novità del GDPR impongono un’attenta pianificazione fin da subito, potendo comportare modifiche organizzative significative e investimenti di natura tecnologica. Inoltre il GDPR rovescia completamente la prospettiva della disciplina di riferimento, istituendo un quadro normativo tutto incentrato sui doveri e la responsabilizzazione del Titolare del trattamento (principio di “accountability). La nuova disciplina impone a tale soggetto di garantire il rispetto dei principi in essa contenuti, ma anche di essere in grado di comprovarlo, adottando una serie di strumenti che lo stesso GDPR indica.

In primis, il registro delle attività di trattamento, che deve contenere una serie di informazioni, tra cui le finalità del trattamento, la descrizione delle categorie di interessati e di dati personali che vengono trattati, oltre che l’indicazione delle misure di sicurezza adottate. La tenuta del registro costituisce un adempimento di fondamentale importanza nell’ottica del principio di accountability, in quanto permette di monitorare in maniera approfondita le operazioni di trattamento all’interno dell’organizzazione. Esso costituisce dunque sia uno strumento operativo di lavoro con cui censire in maniera ordinata le banche dati e gli altri elementi rilevanti per assicurare un sano “ciclo di gestione” dei dati personali, sia un vero e proprio documento di carattere probatorio mediante il quale il Titolare del trattamento può dimostrare di aver adempiuto alle prescrizioni del Regolamento.

A tal fine, può risultare utile indicare nel registro una serie di elementi non espressamente imposti dall’art. 30 del GDPR, ma comunque importanti per tener traccia delle operazioni di trattamento effettuate. Tra questi, ad esempio, la base giuridica del trattamento (ricompresa tra gli elementi che devono essere contenuti nell’informativa da consegnare all’interessato), o gli applicativi e/o database utilizzati, la cui elencazione può risultare necessaria per mappare con esattezza le misure di sicurezza implementate/da implementare, oltre che per condurre efficacemente la valutazione dei rischi.

Quest’ultima assume carattere imprescindibile per poter stabilire quali misure tecniche e organizzative adottare in azienda per garantire un livello di sicurezza appropriato al rischio stesso. La nuova normativa, infatti, abbandona il concetto di “misure minime” del Codice Privacy, sostituendolo con quello di “misure adeguate”. Tale maggiore discrezionalità, tuttavia, è accompagnata, come sopra precisato, dall’onere in capo al Titolare del trattamento di poter dimostrare le ragioni che hanno portato a una determinata decisione.

Titolare del trattamento che potrà nominare un Data Protection Officer (DPO), ovvero una figura specialistica e altamente qualificata che supporti l’applicazione degli obblighi della nuova normativa, e funga da punto di contatto con le Autorità di controllo e gli interessati. La designazione del DPO è obbligatoria solo in alcuni casi (trattamenti effettuati su larga scala, posti in essere da un’Autorità pubblica/organismo pubblico, o che ricomprendono categorie particolari di dati personali). Tuttavia costituisce una buona prassi anche per le aziende che sarebbero esenti da tale adempimento.

In sostanza, l’ampio spettro di novità introdotte dal GDPR impone di definire un piano di adeguamento alla nuova normativa, coinvolgendo le diverse funzioni aziendali coinvolte in operazioni di trattamento di dati personali. È fondamentale sfruttare appieno il periodo transitorio a disposizione, per garantire la conformità alle nuove disposizioni entro il 25 maggio 2018.

Il primo passo quindi, nonché quello di maggiore rilevanza, è definire il registro dei trattamenti e il piano di adeguamento al GDPR. Questa fase prevede l’assessment del modello attuale dell’organizzazione, al fine di definire un piano di azioni opportunamente dettagliate e calate sulla realtà aziendale.

Data l’ampiezza del perimetro di impatto del GDPR a livello aziendale, mappare il modello attuale e identificarne in modo esaustivo i gap, in relazione a quanto richiesto dal Regolamento, richiede un approccio strutturato e comprensivo di tutte le leve su cui è possibile agire in relazione all’obiettivo di adeguamento, quali:

  • Organizzazione e ruoli. Definizione e formalizzazione del modello organizzativo, dei ruoli e delle relative responsabilità all’interno dell’azienda, in relazione all’indirizzo e alla gestione dei temi legati alla Privacy.
  • Persone, cultura e competenze. Progettazione e diffusione della cultura della protezione dei dati e delle policy di sicurezza all’interno dell’organizzazione, attraverso attività di formazione e sensibilizzazione.
  • Processi e regole. È senza dubbio una delle aree più impattate dalle richieste di adeguamento del GDPR, basti ricordare la Privacy by design, la portabilità dei dati, la gestione dei data breach, la gestione del registro dei trattamenti, la gestione dei diritti degli interessati. Sono solo alcuni dei processi richiesti dal Regolamento che dovranno essere disegnati, implementati e presidiati nell’organizzazione.
  • Documentazione. Definizione delle procedure del manuale di gestione della data protection, aggiornamento dei contratti con le terze parti, adeguamento e/o stesura della documentazione di base quali informative, moduli di consenso, lettere di nomina, ecc.
  • Tecnologia e strumenti. Area di rilevante importanza – tipicamente anche dal punto di vista di investimenti da prevedere in ottica di piano di adeguamento – in ambito di misure di sicurezza informatica (antivirus, disaster recovery, firewall, pseudonimizzazione dati, cifratura dati, prevenzione e rilevazione data breach, Identity Management, ecc.), di sicurezza fisica (es. controllo accessi), di adozione di tool IT GRC (Governance, Risk & Compliance).
  • Sistema di controllo. Progettazione e gestione di un cruscotto di KPI per il monitoraggio della compliance a normative esterne (es. GDPR), regolamenti interni, progettazione di reportistica ad hoc da condividere a vari livelli dell’organizzazione.

L’individuazione strutturata dei gap è necessaria per poter definire e prioritizzare le attività del piano di adeguamento, che guiderà l’organizzazione nel processo di compliance.

Oltre all’adottare un metodo strutturato nell’avvio e nella gestione del progetto, fattori critici di successo per il piano di adeguamento e la sua implementazione sono:

  • Avvio e mantenimento di un tavolo di lavoro congiunto comprensivo degli attori principali (Compliance, IT, Legale, Sicurezza), a garanzia di un allineamento completo e costante su attività svolte, priorità e piano di adeguamento aziendale.
  • Ingaggio, sensibilizzazione e coordinamento dei referenti di Business in fase sia di assessment sia di implementazione delle azioni.
  • Comunicazione e conduzione dell’adeguamento al GDPR come una opportunità di tutta l’organizzazione di creare cultura e sensibilizzare rispetto alla privacy e alle policy di sicurezza e, sfruttando la fase di mappatura, possibilità di realizzare sinergie nell’indirizzo di altre compliance (es. D. Lgs. 231), nonché di arricchire la knowledge base aziendale (es. mappa processi, mappa applicativi), integrando opportunamente il registro dei trattamenti.

L’adeguamento al GDPR può essere approcciato in diversi modi. Sta all’azienda scegliere se adeguarsi in senso stretto o cavalcare l’opportunità per creare valore per l’organizzazione nel suo complesso. Non può però sfuggire che il dato personale di clienti, dipendenti e soggetti diversamente coinvolti nel ciclo produttivo e commerciale dell’azienda sia un asset fondamentale per la trasformazione digitale del business e le opportunità che ne possono derivare.

__________________________________________

Articolo a cura di:

Gabriele Faggioli è giurista, CEO di P4I – Partners4Innovation, Presidente Clusit e Adjunct professor MIP – Politecnico di Milano.

Sergio Fumagalli è Responsabile Practice Data Protection di P4I – Partners4Innovation.

Marco Pozzoni è Associate Partner di P4I – Partners4Innovation e Senior Advisor Osservatori Digital Innovation, Politecnico di Milano.