CONTO ALLA ROVESCIA PER IL NUOVO REGOLAMENTO PRIVACY EUROPEO: COME PREPARARSI / by Giampietro Malusa

La piena applicazione del Regolamento Europeo sulla protezione dei dati personali è ormai imminente: i 7 mesi che mancano, soprattutto nelle realtà di media o grande dimensione, all’appuntamento del 25 maggio 2018, potrebbero essere ormai appena sufficienti per adeguare l’impostazione privacy aziendale.

Quali sono le basi dalle quali partire, i primi passi da compiere?

Ecco alcuni suggerimenti e principi dei quali è opportuno tener conto, basati in parte sui più recenti interventi del Garante e in parte sull’esperienza maturata nelle società più strutturate che già da diversi mesi lavorano sul tema:

1)     individuare chiaramente un responsabile di progetto e un team di collaboratori con competenze diverse. La privacy NON è questione di (soli) legali. Le novità del GDPR impatteranno su diverse aree aziendali, ed in particolare IT, marketing, risorse umane;

2)     la protezione dei dati NON si riassume in una serie di adempimenti burocratici, ma deve investire l’organizzazione aziendale: concetti quali la valutazione d’impatto privacy, la privacy by design e by default, la sicurezza dei dati personali devono essere applicati prima in concreto, e solo successivamente nella documentazione richiesta dal Regolamento;

3)     procedere ad una mappatura completa dei vari trattamenti di dati personali presenti in azienda: ciò costituirà l’ossatura del registro dei trattamenti, vera e propria spina dorsale dell’impostazione di data protection per qualsiasi titolare del trattamento;

4)     come, da chi e perché vengono raccolti e trattati dati personali? Analizzare compiutamente i flussi dei dati, e individuare puntualmente i soggetti, interni ed esterni al titolare, che hanno un qualsiasi ruolo nel trattamento: direzioni e aree aziendali, incaricati, responsabili interni ed esterni;

5)     i dati personali sono come i prodotti alimentari, hanno una “data di scadenza”. Una volta cessata l’esigenza concreta per la quale sono stati raccolti e trattati, e salvo che le norme non prevedano tempi di conservazione più brevi, non possono più essere né utilizzati né conservati. Occorre quindi elaborare una chiara policy di data retention per ciascun trattamento;

6)     predisporre le varie procedure e i regolamenti interni necessari: dalla rilevazione e notificazione al Garante dei data breach (violazione dei dati), al backup e restore, alle misure di sicurezza e ai controlli, alle regole sull’utilizzo delle risorse e degli strumenti informatici aziendali da parte dei dipendenti, agli accessi e all’utilizzo dei dati personali, al riscontro agli interessati;

7)     pianificare per tempo la revisione e il controllo delle informative agli interessati in uso, delle formule di consenso che vengono attualmente utilizzate, delle lettere di incarico ai soggetti che materialmente trattano i dati personali, e soprattutto delle nomine a responsabile del trattamento, in particolare dei soggetti esterni (solitamente fornitori di servizi vari) e dei contratti con essi stipulati.