GDPR: esame di maturità per le imprese nella gestione della privacy

11/04/2016
di Leonardo

Si è svolto pochi giorni fa il terzo Colin Focus Day del 2016, dedicato al confronto delle aziende con il nuovo Regolamento Europeo sulla protezione dei dati. Un’interazione partecipata con i relatori ha coinvolto i prestigiosi invitati, in maggioranza ICT Manager, in rappresentanza di Gruppi multinazionali afferenti al settori assicurativo, servizi informativi, GDO, PA e Luxury.

IMG-20160408-WA0004In attesa del testo definitivo, il primo obiettivo è stato quello di far comprendere alle aziende il cambiamento di approccio al tema privacy: la GDPR (General Data Prtection Regulation), o Regolamento europeo sulla tutela dei dati personali, obbliga ad una razionalizzazione dei flussi di dati interni all’azienda, rispetto ai dipendenti, ed esterni rispetto ai fornitori.

Le premesse

Si tratta di una manovra economica messa in atto dall’Europa, come piace ricordare all’Avv. Valentina Frediani, Founder e CEO di Colin, non solo in termini di protezione del know how, ma anche nel guidare le scelte aziendali in merito ai fornitori, soprattutto per accordi su prodotti o servizi che incidono su investimenti pluriennali.

Nel periodo di passaggio, si ricorda che sono due gli anni concessi alle imprese per allinearsi al nuovo assetto dalla sua pubblicazione, i Provvedimenti del Garante restano punto di riferimento, non derogabile, per la corretta gestione della materi, oltre a rappresentare un’utile guida per prepararsi all’evoluzione in atto. Anche successivamente all’approvazione della GDPR non perderanno il loro valore dato che ne completano l’interpretazione e avranno il compito di specificare e calare nel contesto locale, alcuni temi affrontati dalla GDPR. Si pensi, ad esempio, ai provvedimenti che riguardano lo smaltimento della “spazzatura” elettronica o la regolamentazione in tema di Ads (Amministratori di Sistema).

Non solo l’Autorità Garante completerà il nuovo assetto con i propri interventi, vi sono altri documenti, si pensi alle Circolari di Banca d’Italia, che trattano temi non specificati nel regolamento europeo, che tuttavia, salvo integrazioni del testo definitivo, colmeranno i vari gap andando a comporre un quadro integrato.

IMG-20160408-WA0011Come nei precedenti incontri, si è iniziato con il delimitare l’ambito di applicazione della GDPR. Esso riguarda il territorio europeo ma travalica i confini quando si parla di oneri di gestione del rapporto con fornitori. I soggetti che esternalizzano delle attività al di fuori dell’UE, trattando dati di cittadini europei, comunque dovranno garantire gli standard previsti dalla normativa comunitaria.

Rispetto all’ambito sostanziale, il regolamento si applicherà sempre dove sarà realizzato un trattamento di dato personale. In tal senso devono essere considerarati anche Nick name e dati di business intelligence che diventano funzionali alle attività aziendali.

Tema interessante, dunque, quello della pseudonomizzazione: se il dato è codificato ma è riconducibile ad un soggetto interessato, significa che i dati isolati possono essere assemblati e assegnati velocemente all’identità di una persona. Quindi solo il dato puramente anonimo è escluso dal Regolamento ma occorre tenere ben presente che è tecnicamente molto difficile ottenerlo.

I principi cardine

I principi cardine della GDPR riguardano: trasparenza, finalità, minimizzazione, conservazione e le misure tecniche ed organizzative adeguate. Tuttavia, a riprova che un adeguamento corretto alle attuali normative comporta un avvantaggiarsi sul futiro, è bene ricordare che dare visibilità agli interessati dei dati raccolti e delle finalità del trattamento, è una regola già presente nei principi del Codice Privacy; essa viene solamente rafforzata in ambito europeo. Per quanto riguarda invece il già noto Data Breach, viene sottolineato come attualmente riguardi soprattutto Telco e biometria, con il GDPR esso viene esteso a qualsiasi caso in cui vi sia violazione dei dati.

Per rispondere in modo efficace alle misure di sicurezza richieste, dove possibile, i dati vanno razionalizzati. Questo processo, che tenga conto dei citati cardini del Regolamento, è occasione di riorganizzazione e ottimizzazione interna.

IMG-20160408-WA0009Razionalizzazione che, come accennato, dovrà coinvolgere anche i rapporti con tutti i soggetti esterni che, a vario titolo, sono coinvolti in attività aziendali che abbiano ricadute sul trattamento dei dati. La centralità dei Principi Privacy By Design e Default, introdotti nella riforma europea, sono fondamentali per regolare contratti ed accordi con terze parti. Dato che spesso tali accordi sono sanciti a medio o lungo termine, anche prima della formale entrata in vigore della GDPR, sarà più che opportuno per le imprese considerarli revisionando i contratti in essere o realizzandoli ex novo rispettando tali dettami.

Sempre riferendosi alla materia contrattuale, è necessario approcciare consapevolmente anche il Privacy Impact Assessment (PIA), uno strumento atto a tener conto degli impatti del trattamento sui diritti dell’interessato e a valutare i possibili rischi collegati. Implicazioni che, ancora una volta, coinvolgeranno l’intera filiera dei fornitori.

Concludendo poi con aspetti inerenti il nuovo assetto per il ricordo alle autorità, il trasferimento dei dati all’estero e la figura del DPO, il Colin Focus Day è stato occasione di scambio di esperienze e spunto di riflessione sul percorso che le aziende affronteranno per la razionalizzazione dei flussi informativi. Il GDPR obbliga le aziende a presentarsi a un ‘esame di maturità’ preparate, nel loro complesso, ad accettare e provuovere una prospettiva di tutela del patrimonio informativo che abbraccerà, in modo integrato, la totalità delle attività di business per esser efficace.

Riproduzione riservata ©

ALTRE NEWS

Non sussistente la responsabilità penale da link

In data 25 febbraio il Tribunale di Milano, in composizione collegiale, ha emanato una sentenza  che si pone in modo piuttosto autonomo nel panorama giurisprudenziale… Leggi Tutto

Video-choc del minore affetto da autismo, Google condannata

A febbraio il Tribunale di Milano ha condannato i tecnocrati di Google per violazione della privacy, ma non per diffamazione, per non aver impedito che… Leggi Tutto

Amministratore di sistema: proroga al 15 dicembre

Ebbene sì: tutti ci confidavano. La scadenza del 30 giugno per l´adozione delle misure inerenti gli amministratori di sistema, è stata prorogata. Data slittata al… Leggi Tutto

AziendaSpeech & Eventi

COLIN & PARTNERS

CHI SIAMO

Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI

Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE

Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.