Come adeguarsi al GDPR

La protezione dei dati personali, spesso erroneamente minimizzata nel concetto di “privacy”, è entrata con estremo vigore nella vita di tutti i giorni al punto tale da poter essere un vero e proprio tormentone e quindi, proprio parafrasando un noto tormentone estivo

Protezione a forza 9, GDPR sì, ma come?

In questo nuovo articolo ci concentreremo quindi a rispondere a due domande a riguardo del GDPR che cominciano con il come: come funziona il GDPR e come adeguarsi. Da queste due domande, poi, si avrà modo di rispondere ad altre collegati quali: come si può fare un’informativa? come si devono conservare i dati? come gestire i rapporti con i fornitori?.

Andiamo però con ordine.

 

 

Per capire come adeguarsi al GDPR è necessario prima capire come funziona il GDPR.

Nei precedenti articoli che puoi leggere (qui, qui, e qui) abbiamo più volte fatto riferimento al cambio di passo imposto dall’attuale disciplina rispetto alle precedenti, portando non solo ad una unificazione all’interno dello spazio economico europeo della normativa in materia ma anche e, è il caso di aggiungere, soprattutto ad un cambio di prospettiva, la cui bontà è testimoniata dagli analoghi provvedimenti normativi approvati in molti altri paesi del mondo ad immagine e somiglianza della normativa europea.

Con il regolamento 2016/679 infatti il legislatore europeo abbandona un concetto statico e monolitico di protezione dei dati personali, fondato sull’applicazione pedissequa di un elenco di misure di sicurezza definite “minime” (nel nostro ordinamento rappresentato dall’abrogato allegato B del D. Lgs 196/2003) da parte di tutti i soggetti coinvolti attivamente nel trattamento dei dati personali, in favore di un concetto dinamico e, perciò, mutevole a seconda del contesto.

Per questa ragione si parla a proposito del GDPR di una normativa basata sul rischio connesso al trattamento effettivamente svolto, il quale deve essere presidiato da misure di sicurezza non più minime ma “adeguate”, per l’appunto, al rischio.

Chiarito questo, si è pronti per capire come adeguarsi al GDPR.

  

Come adeguarsi al GDPR nella pratica

I soggetti che sono tenuti ad adeguarsi al GDPR devono cominciare un’analisi della propria organizzazione. Tale analisi dovrà essere condotta sul registro dei trattamenti (regolato dall’art. 30 GDPR, è obbligatorio solo in alcuni casi ma risulta in ogni caso un valido strumento per dimostrare il rispetto della normativa) e sarà volta ad identificare i rischi connessi alla propria attività, nonché le possibili ricadute sui dati personali trattati, con particolare attenzione alla perdita di riservatezza, integrità e disponibilità ma più in generale a tutte le possibili conseguenze negative per i soggetti ai quali quei dati si riferiscono.

La definizione dei rischi può non essere un’attività agevole. 

Questa può essere condotta traendo spunto da norme iso affini quali la 27001 (tenendo però bene a mente la differente ragione sottesa a tale provvedimento, cioè la tutela delle informazioni e non delle persone fisiche) ma, a prescindere dalle modalità operative della conduzione di tale analisi, è necessario tenere sempre davanti a sé, come una stella polare, il fatto che la protezione dei dati personali non deve mai essere fine a se stessa ma strumentale alla tutela delle libertà delle persone fisiche.

Un ulteriore aiuto nella definizione di tali rischi arriva direttamente dal Regolamento dove, al Considerando n. 75 si legge che “I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo”.

Conclusa l’analisi dei rischi, occorre chiedersi se questi siano mitigabili tramite l’adozione di misure di sicurezza, che possono essere tecniche (cifratura dei dati, log degli accessi) o organizzative (disciplinari interni sull’uso degli archivi, procedure di gestione degli incidenti o formazione dei dipendenti in materia di protezione dati).

 

Quanto costa adeguarsi al GDPR?

La domanda che ora ti starai facendo potrebbe essere questa: “Sì. ma quanto costa?” Come si è già avuto modo di dire il GDPR prevede pochi automatismi e non è questo il caso.

Il combinato disposto dagli articoli 24, 25 e 32 infatti è chiaro nell’affermare che tale mitigazione deve essere commisurata su molti parametri tra cui, di interesse rilevante a tal proposito è quello “dello stato dell’arte e dei costi di attuazione”.

Nessun Titolare è chiamato a sforzi economici non sostenibili ma a considerare la protezione dei dati personali fin dalla progettazione delle attività (principio di privacy by design) e come impostazione predefinita (principio di privacy by default) in relazione con i costi derivanti.

Il risultato dovrà essere un’organizzazione del lavoro caratterizzata da misure tecniche e organizzative adatte a garantire un livello di sicurezza adeguato al rischio precedentemente individuato e capace di garantire il rispetto dei principi di: liceità, trasparenza e correttezza del trattamento, minimizzazione del trattamento, di riservatezza ed integrità dei dati, limitazione delle finalità del trattamento e della conservazione dei dati.

È importante ricordare, però, che tale risultato non sarà immutabile, al contrario, potrà essere soggetto a variazioni che porteranno a rivedere l’intero processo fin qui rappresentato, fino ad arrivare ad imporre talvolta anche ulteriori adempimenti quali, ad esempio, una valutazione di impatto, prevista e regolata all’art. 35 del GDPR. Da questo punto di vista è fondamentale svolgere attività di audit periodiche per valutare l’adeguatezza dell’organizzazione e l’effettivo rispetto del GDPR.

Ad ogni modo, quando il Titolare ha stabilito l’organizzazione delle proprie attività, deve dare atto, in vista di eventuali controlli, del processo logico seguito e deve dare alcune specifiche informazioni ad ogni soggetto che dovesse conferirgli i propri dati (gli “interessati”).
Di quali informazioni stiamo parlando? di quelle previste agli artt. 13 e 14 del GDPR che vanno a comporre quella che comunemente viene definita “informazioni privacy”.

Le informazioni sono le stesse per entrambi gli articoli, quello che cambia è la modalità di raccolta dei dati che, nel caso dell’art. 13 avviene direttamente dall’interessato, mentre nel caso dell’art. 14 da un altro Titolare del trattamento. Tra queste informazioni si trova anche dove vengono conservati i dati, i quali devono preferibilmente essere archiviati, garantendo la loro separazione logica, in Europa o, in caso contrario, essere cifrati.

L’informativa dovrà anche indicare tutti i soggetti che hanno accesso ai dati. Dovranno quindi essere indicati anche eventuali fornitori di servizi che possono entrare in contatto con tali dati. Con questi fornitori, dovrà essere preventivamente siglato un accordo di nomina a responsabile del trattamento, così da poter dare evidenza di aver fornito tutte le istruzioni necessarie per le attività da svolgere secondo quanto stabilito dall’art. 28 GDPR.

In conclusione, il processo di adeguamento è un’attività ciclica volta a un efficientamento interno in materia di protezione e trattamento dei dati personali che parte da una continua analisi dei rischi connessi.

Non si tratta di una semplice burocratizzazione ma di uno strumento che consente di poter utilizzare correttamente e in maniera completa ed estesa i dati personali trattati, facenti parti del patrimonio informativo aziendale, nel pieno rispetto delle persone alle quali questi si riferiscono.

Un sistema di gestione dei dati personali efficiente consente di minimizzare i costi di gestione, controllo e raccolta dei dati e fornisce un ritorno di immagine che porta alla fidelizzazione della clientela e ad un suo progressivo aumento dato da una maggior fiducia degli stakeholder.

Questo, infine, consente di minimizzare i costi per le campagne di marketing.

Contenuti simili
CORPORATE
giu 29, 2023
AWS Summit Milano 2023

Solo il 39% delle aziende è in cloud. Quelle che adottano l'intelligenza artificiale nel business sono il 18%. E i Big Data? In Italia sono quasi irrilevanti, siamo ben al di sotto del 10%. Come è emerso dall'AWS Summit Milano, c’è molto da fare per colmare il gap e noi di Miriade siamo qui per questo.

CORPORATE
dic 04, 2023
BericaMap selezionato tra le migliori best practice a FIASO25

Berica Map: un’applicazione che fornisce la visione completa su tutti i servizi sociosanitari presenti nel territorio, che facilita la direzione Socio Sanitaria nel compito di prendere decisioni e pianificare strategie in modo più veloce e immediato.