GDPR: esame di maturità per le imprese nella gestione della privacy

11/04/2016
di Leonardo

Si è svolto pochi giorni fa il terzo Colin Focus Day del 2016, dedicato al confronto delle aziende con il nuovo Regolamento Europeo sulla protezione dei dati. Un’interazione partecipata con i relatori ha coinvolto i prestigiosi invitati, in maggioranza ICT Manager, in rappresentanza di Gruppi multinazionali afferenti al settori assicurativo, servizi informativi, GDO, PA e Luxury.

IMG-20160408-WA0004In attesa del testo definitivo, il primo obiettivo è stato quello di far comprendere alle aziende il cambiamento di approccio al tema privacy: la GDPR (General Data Prtection Regulation), o Regolamento europeo sulla tutela dei dati personali, obbliga ad una razionalizzazione dei flussi di dati interni all’azienda, rispetto ai dipendenti, ed esterni rispetto ai fornitori.

Le premesse

Si tratta di una manovra economica messa in atto dall’Europa, come piace ricordare all’Avv. Valentina Frediani, Founder e CEO di Colin, non solo in termini di protezione del know how, ma anche nel guidare le scelte aziendali in merito ai fornitori, soprattutto per accordi su prodotti o servizi che incidono su investimenti pluriennali.

Nel periodo di passaggio, si ricorda che sono due gli anni concessi alle imprese per allinearsi al nuovo assetto dalla sua pubblicazione, i Provvedimenti del Garante restano punto di riferimento, non derogabile, per la corretta gestione della materi, oltre a rappresentare un’utile guida per prepararsi all’evoluzione in atto. Anche successivamente all’approvazione della GDPR non perderanno il loro valore dato che ne completano l’interpretazione e avranno il compito di specificare e calare nel contesto locale, alcuni temi affrontati dalla GDPR. Si pensi, ad esempio, ai provvedimenti che riguardano lo smaltimento della “spazzatura” elettronica o la regolamentazione in tema di Ads (Amministratori di Sistema).

Non solo l’Autorità Garante completerà il nuovo assetto con i propri interventi, vi sono altri documenti, si pensi alle Circolari di Banca d’Italia, che trattano temi non specificati nel regolamento europeo, che tuttavia, salvo integrazioni del testo definitivo, colmeranno i vari gap andando a comporre un quadro integrato.

IMG-20160408-WA0011Come nei precedenti incontri, si è iniziato con il delimitare l’ambito di applicazione della GDPR. Esso riguarda il territorio europeo ma travalica i confini quando si parla di oneri di gestione del rapporto con fornitori. I soggetti che esternalizzano delle attività al di fuori dell’UE, trattando dati di cittadini europei, comunque dovranno garantire gli standard previsti dalla normativa comunitaria.

Rispetto all’ambito sostanziale, il regolamento si applicherà sempre dove sarà realizzato un trattamento di dato personale. In tal senso devono essere considerarati anche Nick name e dati di business intelligence che diventano funzionali alle attività aziendali.

Tema interessante, dunque, quello della pseudonomizzazione: se il dato è codificato ma è riconducibile ad un soggetto interessato, significa che i dati isolati possono essere assemblati e assegnati velocemente all’identità di una persona. Quindi solo il dato puramente anonimo è escluso dal Regolamento ma occorre tenere ben presente che è tecnicamente molto difficile ottenerlo.

I principi cardine

I principi cardine della GDPR riguardano: trasparenza, finalità, minimizzazione, conservazione e le misure tecniche ed organizzative adeguate. Tuttavia, a riprova che un adeguamento corretto alle attuali normative comporta un avvantaggiarsi sul futiro, è bene ricordare che dare visibilità agli interessati dei dati raccolti e delle finalità del trattamento, è una regola già presente nei principi del Codice Privacy; essa viene solamente rafforzata in ambito europeo. Per quanto riguarda invece il già noto Data Breach, viene sottolineato come attualmente riguardi soprattutto Telco e biometria, con il GDPR esso viene esteso a qualsiasi caso in cui vi sia violazione dei dati.

Per rispondere in modo efficace alle misure di sicurezza richieste, dove possibile, i dati vanno razionalizzati. Questo processo, che tenga conto dei citati cardini del Regolamento, è occasione di riorganizzazione e ottimizzazione interna.

IMG-20160408-WA0009Razionalizzazione che, come accennato, dovrà coinvolgere anche i rapporti con tutti i soggetti esterni che, a vario titolo, sono coinvolti in attività aziendali che abbiano ricadute sul trattamento dei dati. La centralità dei Principi Privacy By Design e Default, introdotti nella riforma europea, sono fondamentali per regolare contratti ed accordi con terze parti. Dato che spesso tali accordi sono sanciti a medio o lungo termine, anche prima della formale entrata in vigore della GDPR, sarà più che opportuno per le imprese considerarli revisionando i contratti in essere o realizzandoli ex novo rispettando tali dettami.

Sempre riferendosi alla materia contrattuale, è necessario approcciare consapevolmente anche il Privacy Impact Assessment (PIA), uno strumento atto a tener conto degli impatti del trattamento sui diritti dell’interessato e a valutare i possibili rischi collegati. Implicazioni che, ancora una volta, coinvolgeranno l’intera filiera dei fornitori.

Concludendo poi con aspetti inerenti il nuovo assetto per il ricordo alle autorità, il trasferimento dei dati all’estero e la figura del DPO, il Colin Focus Day è stato occasione di scambio di esperienze e spunto di riflessione sul percorso che le aziende affronteranno per la razionalizzazione dei flussi informativi. Il GDPR obbliga le aziende a presentarsi a un ‘esame di maturità’ preparate, nel loro complesso, ad accettare e provuovere una prospettiva di tutela del patrimonio informativo che abbraccerà, in modo integrato, la totalità delle attività di business per esser efficace.

Riproduzione riservata ©

ALTRE NEWS

Bocciata la raccomandata online. Avv. Fantini: ‘Occorre equilibrio fra diritti vecchi e nuovi’

La sentenza n. 7337 del 17 febbraio u.s. pronunciata dalla terza sezione penale della Corte di Cassazione dichiara l’inammissibilità dell’impugnazione allorché il relativo atto sia… Leggi Tutto

Via libera alle pubblicazioni in internet copiate

“1-bis. È consentita la libera pubblicazione attraverso la rete internet, a titolo gratuito, di immagini e musiche a bassa risoluzione o degradate, per uso didattico… Leggi Tutto

Marketing e consenso privacy: il caso Wind

Il caso Il 27 ottobre 2016, ai sensi degli artt. 143, comma 1, lett. b) e c), 144 e 154, comma 1, lett. c) e… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.