Si avvicina la data del 25 maggio 2018 quando sarà direttamente applicabile in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.
Il GDPR è uno strumento giuridico di vasta portata, destinato ad avere un impatto significativo su tutte le società che effettuano trattamento dei dati personali.
Il GDPR aumenta le sanzioni associate al difetto di compliance, prevedendo sanzioni amministrative pecuniarie fino a 20 milioni di euro, o fino al 4% del fatturato annuo mondiale della società che trasgredisce. Inoltre, un certo numero di poteri assai ampi saranno attribuiti alle autorità di vigilanza competenti. È quindi opportuno per tutte le società o enti esaminare il GDPR e prepararsi ad adempiere alla nuova normativa in materia di protezione dei dati nell’UE.
Il GDPR impone che i titolari del trattamento (trattato con strumenti elettronici o con il cartaceo) implementino programmi che possano essere provati davanti alle autorità di vigilanza e ai soggetti interessati.
1) Determinare la nomina di un responsabile della protezione dei dati
I titolari ed i responsabili del trattamento sono tenuti, ciascuno, a nominare un DPO - Data Protection Officer nel caso in cui le loro attività caratteristiche prevedano un’attività di monitoraggio dei soggetti interessati che sia regolare, sistematica e su larga scala, oppure prevedano il trattamento su larga scala di dati sensibili. Anche le autorità o gli enti pubblici devono nominare un DPO. È possibile nominare un DPO anche su base volontaria, tenendo a mente che il diritto nazionale di ciascuno Stato Membro potrebbe imporre la designazione di un DPO in casi non specificamente previsti dal GDPR.
2) Controllare il livello attuale di conformità al GDPR
La prima fase di controllo avviene con la compilazione di una check list a livello di macro-argomenti: esistenza della valutazione d’impatto, nomina del DPO, documentazione completa, infrastruttura informatica, procedure di sicurezza, comportamenti, ecc. La seconda fase prevede la verifica, nei dettagli, della correttezza ed adeguatezza di quanto riscontrato nella prima fase. Al termine, viene rilasciato un report di analisi con i risultati delle due fasi descritte.
3) Documentare la valutazione dell’impatto della protezione dei dati
Prima che il trattamento abbia luogo, i titolari del trattamento devono svolgere una valutazione sull’impatto di qualsivoglia attività che rappresenti una minaccia significativa per i diritti dei soggetti interessati (per esempio, decisioni basate su trattamenti o profilazioni automatizzati, trattamento di dati sensibili su larga scala e monitoraggio automatico su larga scala di un’area accessibile al pubblico).
4) Proporre un progetto di adeguamento al GDPR e concordare col Cliente il piano di attuazione
Sulla base dei dati emersi nei punti 2 e 3, si redige un piano di intervento tenendo conto di:
- Probabilità e gravità di rischio
- Soluzioni disponibili sul mercato
- Costi di attuazione
Al fine di avere una visione completa dell’impatto del piano di attuazione, ogni fase è corredata dell’indicazione dei tempi, dei costi e delle risorse coinvolte. Il progetto viene presentato e discusso con il Cliente, per valutare come procedere.
5) Implementare misure tecniche ed organizzative appropriate
I titolari del trattamento devono adottare misure tecniche ed organizzative appropriate. Queste possono includere:
- L’adozione di policy sulla protezione dei dati;
- L’adesione a codici di condotta approvati;
- L’adesione a meccanismi di certificazione automatica.
6) Aggiornare la documentazione (registri del trattamento)
I titolari del trattamento devono tenere registri relativi alle attività trattate che contengano specifiche informazioni obbligatorie (inclusi: le finalità del trattamento, una descrizione delle categorie di soggetti interessati, i dati personali e i destinatari dei dati, le misure tecniche ed organizzative implementate, e qualsiasi trasferimento di dati verso paesi terzi).
7) Controllare e reagire a eventuali violazioni (Data breach)
“Prepararsi a gestire il peggio”: è necessario essere preparati ad affrontare eventuali violazioni alla privacy tracciando preventivamente tutte le operazioni di trattamento e predisponendo le procedure dedicate a gestire la notifica al Garante di eventuali violazioni.
8) Migliorare e monitorare continuamente
Il processo relativo al GDPR non è una tantum, ma consiste in un monitoraggio continuo della protezione dei dati e in una ricerca continua di soluzioni migliori per affrontare le problematiche relative alla sicurezza
