Come affrontare il GDPR
Il 4 maggio 2016 è stata pubblicata sulla Gazzetta Ufficiale dell’Unione Europea la versione definitiva del GDPR (General Data Protection Agreement), il Regolamento Europeo 2016/679, cioè il Regolamento Europeo in materia di protezione dei dati personali delle persone fisiche, nonché della libera circolazione di tali dati.
Il testo è entrato in vigore il 25 maggio 2016 e si applicherà in tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale le aziende/organizzazioni dovranno adeguarsi alla nuova “legge sulla privacy”.
Per le aziende risulta importante affrontare questo argomento con il corretto approccio, evitando di farsi prendere dal panico ma comprendendo che si tratta di un percorso che avrà importanti ripercussioni sul sistema organizzativo e consentirà, perché no, di fare dei dati un vero valore aggiunto da utilizzare al meglio anche per finalità di promozione e sviluppo.
La disciplina introduce infatti un nuovo modo di pensare e gestire il trattamento dei dati seguendo alcuni principi base:
1. Tratta meno dati che puoi e comunque solo quelli che ti servono veramente;
2. Distribuisci le responsabilità e documenta i trattamenti;
3. Favorisci l’anonimizzazione e la pseudonimizzazione.
La gestione dei dati in azienda diventa sempre più simile alla gestione della Sicurezza sul Lavoro, una visione basata sulla progettazione e l’implementazione di sistemi capaci di autoadegaursi piuttosto che una basata sulla logica del “correre ai ripari”. Un concetto, dunque, centrato sui concetti di “design” e “default”, progettazione e automatismo.
1. Cosa fare per affrontare correttamente i nuovi adempimenti? Ecco un sintetico decalogo utile per capirlo:
2. Conoscere le basi del nuovo Regolamento;
3. Mappare con esattezza quali dati si trattano, perché si trattano e come si trattano;
4. Rivedere le informative secondo i nuovi principi;
5. Eseguire una “Privacy Impact Analisys” cioè una vera e propria analisi che valuta e previene i rischi legati al trattamento dei dati personali;
6. Conoscere la logica dell’accountability: cioè della corretta organizzazione, della documentabilità e tracciabilità obbligatoria delle attività di trattamento a riprova della propria capacità di aver scelto le migliori e più opportune modalità di protezione;
7. Aver presenti i concetti di privacy by design e privacy by default: la protezione dei dati, infatti, inizia dal “design” cioè dalla fase di ideazione e progettazione di un trattamento in modo tale che siano trattati in maniera corretta, per impostazione predefinita, solo i dati personali necessari;
8. Sapere che occorre un Registro dei Trattamenti;
9. Sapere che il regolamento individua la nuova figura del Data Protection Officer, che è obbligatoria sono in specifici casi, quini non sempre;
10. Ricordare il concetto di “portabilità dei dati” e quindi il diritto di ogni interessato a sapere di quali dati a lui relativi si disponga e la sua facoltà di “portarli altrove”;
11. Porre particolare attenzione alle situazioni che portano al trasferire dati fuori dai confini nazionali.
A conclusione di queste brevi indicazioni è bene ricordare che il GDPR, pur introducendo rilevanti novità, si inserisce nel percorso che ormai da molti anni è in atto in relazione alla data protection e alla tutela della privacy, per questo per molte aziende il passaggio verso i nuovi adempimenti sarà più agevole di quel che spesso viene fatto credere. Anche chi fosse indietro, tuttavia, non deve spaventarsi ma affrontare l’argomento con rapidità e con il supporto di risorse competenti, in modo da adeguarsi agli adempimenti richiesti evitando così il rischio di incorrere in onerose sanzioni.