GDPR: cosa è e come adeguarsi

Se fino ad ora ogni azienda doveva fare i conti con la legge sulla privacy, tra poco bisognerà vedersela con il Regolamento Generale sulla Protezione dei Dati, meglio conosciuto come GDPR.

Questo nuovo regolamento è una legge definita dal Parlamento Europeo già da due anni, ma in attuazione solo dal prossimo 25 maggio e va a sostituire le leggi nazionali di tutti i paesi europei in materia di trattamento dei dati personali e l’Italia non fà eccezione.

Ogni azienda italiana dovrà raccogliere tutte le informazioni che la riguardano, partendo principalmente dal Codice Privacy e procedendo poi a raccogliere, più in generale, le informazioni relative a tutte le attività svolte:

  • i settori di business
  • i Paesi in cui operano i vari titolari e responsabili del trattamento
  • i servizi di supporto
  • gli “oggetti” aziendali disponibili (es. organigramma, funzionigramma)
  • le certificazioni ottenute
  • le principali categorie di dati trattati
  • gli eventuali trattamenti terziarizzati e conseguenti nomine.

Questo processo deve portare ad avere un quadro completo che consenta di schematizzare e mappare organizzazione e ruoli, persone, cultura e competenze, processi e regole, documentazione che abbia impatti sul trattamento dei dati, contratti con i fornitori che trattano dati, nomine a responsabili e incaricati del trattamento, processi e procedure di gestione dei sistemi informativi, tecnologie e strumenti per la gestione della sicurezza informatica, sistemi di controllo, sistemi di internal audit.

 

Il primo adempimento che è opportuno porre in essere è senza dubbio è l’adozione del Registro dei trattamenti di dati personali. Il Registro dei trattamenti ha dei contenuti obbligatori previsti specificamente dal RGPD ma ciò non toglie che possa che comprendere anche altre informazioni non obbligatorie.

Tutte le informazioni raccolte torneranno utili per quando poi andranno identificati e valutati i principali gap da colmare per essere compliant al RGPD, seguendo lo schema qui di seguito:

  • definizione, formalizzazione e implementazione della struttura organizzativa della data protection, sia a livello di macro-struttura sia a livello di micro-struttura (ruoli e responsabilità);
  • sensibilizzazione e formazione dei soggetti chiamati a ricoprire un ruolo attivo nell’ambito del modello di funzionamento della data protection, ma anche della popolazione aziendale indirettamente coinvolta nella protezione dei dati personali;
  • definizione, formalizzazione e implementazione di processi e regole connessi alla protezione dei dati personali, sia in modo diretto (es. gestione dei diritti degli interessati) sia in modo indiretto (es. gestione misure di sicurezza tecnico-organizzative);
  • stesura ex novo della documentazione o modifica della documentazione esistente (es. informative, moduli di consenso, clausole contrattuali) e avvio della relativa adozione, anche verso l’esterno;
  • definizione e implementazione di un sistema di controlli interni per la protezione dei dati personali.

Come adeguarsi al GDPR? E’ possibile semplificare, schematizzare e suddividere un intero progetto di adeguamento al RGPD in 9 fasi:

Fase 1 – Valutazione dell’adeguamento: raccolta di tutte le informazioni sull’organizzazione aziendale, analisi e valutazione della documentazione in uso;
Fase 2 – Creazione del registro dei trattamenti: documento volto a tenere traccia dei trattamenti effettuati da parte del titolare e degli eventuali responsabili, e contenente, tra gli altri, le finalità del trattamento, una descrizione delle categorie di interessati e dei dati personali, i destinatari, gli eventuali trasferimenti verso Paesi terzi e una descrizione generale delle misure di sicurezza;
Fase 3 – Stesura/Modifica della documentazione affinché risulti completa ed aggiornata secondo le prescrizioni della nuova normativa;
Fase 4 – Individuazione dei ruoli e delle responsabilità dei soggetti che effettuano il trattamento;
Fase 5 – Definizione delle politiche di sicurezza e valutazione dei rischi: valutazione e attuazione di tutte le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al RGPD. Questa fase è espressione, soprattutto, del principio di responsabilizzazione del titolare (accountability);
Fase 6 – Processo di Data Breach: al fine di assicurarsi di aver adottato tutte le procedure idonee a scoprire eventuali violazioni, generare adeguata reportistica e indagarne le cause nonché gli effetti della violazione subita;
Fase 7 – Valutazione d’impatto sulla protezione dei dati personali: al fine di assicurare trasparenza nelle operazioni di trattamento dei dati personali e adeguata protezione agli stessi, implica che il titolare effettui precise e adeguate valutazioni d’impatto privacy. Attraverso tale istituto è possibile, quindi, valutare gli aspetti relativi alla protezione dei dati, prima che questi vengano trattati;
Fase 8 – Implementazione dei processi per l’esercizio dei diritti dell’interessato;
Fase 9 – Individuazione e nomina di un Data Protection Officer (DPO): figura la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

(Fonte: Agenda Digitale.eu)