General Data Protection Regulation

Cosa si deve fare

E’ una delle domande più frequenti all’interno delle aziende italiane in relazione alla normativa GDPR: cosa deve fare un’azienda per adeguarsi al GDPR?

La risposta, e dunque gli adempimenti previsti per l’adeguamento, non sono uguali per tutte le aziende, e per questa ragione è sempre consigliabile richiedere una consulenza individuale ad un operatore specializzato, come Netlux, per assicurarsi la piena compliance normativa; è tuttavia possibile individuare alcuni principi e previsioni che sono comuni a tutte le aziende e sono sufficienti a garantire l’adeguamento delle imprese di minori dimensioni e con attività di trattamento dei dati personali non considerevoli/prevalenti rispetto all’attività d’impresa esercitata.

La base dell’adeguamento al GDPR deve essere centrato sul rispetto del principio di accountability, il vero e proprio pilastro nella normativa GDPR. Il termine non è traducibile ed interpretabile in italiano in termini di mera responsabilità, ma piuttosto come capacità di rendere conto dell’adeguatezza delle azioni messe in campo per garantire la sicurezza dei sistemi e delle procedure utilizzate per il trattamento dei dati personali all’interno dell’organizzazione; il principio di accountability non richiede un adeguamento formale a degli obblighi normativi, ma piuttosto un adeguamento sostanziale e continuo ai principi espressi dalla normativa giuridica, così come calati nelle esigenze (variabili ed evolutive) della realtà pratica dei sistemi e dei processi utilizzati nell’ambito del trattamento.

Questo principio pone la responsabilità per il trattamento sul piano della dimostrabilità e della verificabilità delle modalità di esercizio concreto della responsabilità connessa al trattamento dei dati personali gestiti ed implica pertanto l’avviamento di un percorso e di un’attività costante di Data Protection, non il semplice assolvimento di una serie di obblighi nominali, statici o formali.

E’ chiaramente richiesto un approccio pratico, proattivo e dinamico alle problematiche di trattamento, che sappia anticipare i rischi e pianificare i metodi ed i processi che garantiscano l’adeguatezza del livello di protezione dei dati trattati; e questo approccio è necessario che l’azienda sia in grado di dimostrarlo e rendicontarlo in caso di accertamento da parte dell’autorità di controllo ed in caso di controversia, per non incorrere rispettivamente in sanzioni o in responsabilità giuridica.

Occorre per l’azienda “l’aver fatto e il poter dimostrare di aver fatto tutto il possibile per evitare il danno” per evitare la responsabilità conseguente ad un danno.

I principali aspetti dell’adeguamento al GDPR sono i seguenti:

  • Audit dei processi interni ed esterni, controllo dell’accesso ai dati e valutazione generale della compliance (implementando strumenti di anonimizzazione, pseudonimizzazione e crittografia);
  • Individuazione del modello organizzativo (ruoli e responsabilità) nel trattamento e nella data protection;
  • Formazione delle risorse interne in merito alla normativa GDPR;
  • Adeguamento della documentazione relativa alla privacy;
  • Analisi delle politiche di sicurezza e valutazione dei rischi connessi alla privacy;
  • Implementazione e tenuta del registro dei trattamenti;
  • Aggiornamento dell’informativa per il consenso al trattamento da sottoporre agli utenti;
  • Adeguamento dei contratti con i fornitori (per i quali si prevede, in via generale, la responsabilità solidale);
  • Adeguamento delle policies, dei processi e degli strumenti di sicurezza informatica;
  • Individuazione/nomina del Data Protection Officer (DPO) interno o esterno.