La Privacy diventi una priorità aziendale in modo tangibile

04/07/2016
di Elisa Spettoli Caselli

Si è parlato ancora di privacy e GDPR a Firenze a fine giugno, durante la Round Table Colin & Partners, per sottolineare l’importanza dell’evoluzione in atto, soprattutto per It Manager e Legal di importanti imprese fornitrici di servizi Data Center/Cloud e Società sviluppatrici e distributrici di software applicativi toscane.

Il rapido adeguamento imposto dal Nuovo Regolamento Europeo per la Protezione dei Dati (GDPR), recentemente pubblicato in Gazzetta Ufficiale, grava sugli assetti aziendali nei termini di adozione di radicali cambiamenti. Si pensi, in particolare, al settore dell’Information Communications Technology (ICT). Il rigore della GDPR comporta una preparazione ovviamente impellente nonché onerosa in misura di tempo ed energie. Tuttavia si riscontra ancora una scarsa sollecitudine nel familiarizzare con le nuove regole e, soprattutto, nel considerare l’entità dell’impianto sanzionatorio previsto, completamente rinnovato e particolarmente severo. Non è male ricordare che le sanzioni amministrative potranno arrivare fino a 20 milioni di euro o fino al 4% del fatturato globale mondiale annuo e che il tempo a disposizione per adeguarsi alla normativa è solo di due anni.

Non si commetta l’errore di credere che l’implementazione di nuovi codici di condotta o policy di data retention per la conservazione del dato personale escludano dall’applicazione di tali sanzioni”: anticipa Marco Parretti, Consultant Colin & Partners nella valutazione dell’irrigidimento del nuovo quadro normativo. “Occorre pensare già da ora agli impatti che tali previsioni rifletteranno sui contratti di fornitura di beni e servizi ICT” ricorda più volte insieme ad Elisa Fontanelli, Consultant Colin & Partners.

Mercato unico digitale UENon stupisce che i relatori scelgano di parlare subito delle sanzioni previste, senza tralasciare considerazioni apparentemente ovvie relative, ad esempio, alla dimensione aziendale o a gruppi multinazionali la cui attività interessa i dati di utenti del Vecchio Continente anche al di fuori dei suoi confini. Restano anche alcuni dubbi come quelli relativi all’applicazione da parte degli stati membri di sanzioni penali ancora non quantificabili.

Citato poi anche un caso che incrocia in sé ‘il vecchio e il nuovo’: il Responsabile non è più esente dall’obbligo di risarcimento del danno eventualmente patito dall’interessato, ma possono insorgere in capo allo stesso delle responsabilità nel caso violi disposizioni a lui specificamente dirette ed al pari del Titolare dell’impresa può essere chiamato a saldarlo.

Pertanto, la continuità tra la GDPR e il D.Lgs. 196/2003 della normativa privacy italiana fa da premessa alla Round Table. Si considerino innanzitutto gli attuali e specifici provvedimenti del Garante privacy che, se non in contrasto con il nuovo quadro normativo, rimarranno in vigore per i prossimi due anni. Lo stesso vale per la conditio sine qua non per cui il Titolare aziendale deve adottare misure tecniche adeguate alla tutela dei dati personali. Tra queste, la data recovery e la capacità di assicurare continua riservatezza, integrità, disponibilità e resilienza dei sistemi informativi e dei servizi che trattano i dati. La procedura per provare, verificare e valutare l’efficacia delle misure applicate dal Titolare, anche in relazione a quanto disposto dalla GDPR, provocherà un diverso impatto nella cifratura dei dati personali e nelle attività di monitoraggio relative.

Le novità portate dalla normativa europea sono conseguenti all’evoluzione tecnologica ed alla metamorfosi del mercato e delle aziende, specie di quelle riferite alla business intelligence. Si cominci considerando come la mappatura dei ruoli e quindi, in termini di gestione privacy, l’individuazione delle diverse responsabilità degli attori coinvolti, diventino espressamente obbligatorie. Si pensi poi al concetto di ‘garanzia’: all’adeguatezza delle misure adottate dal Titolare – misure ora anche organizzative – deve inevitabilmente seguire la dimostrazione che il trattamento sia conforme alla GDPR. Dunque l’accountability. Da non dimenticare poi la pseudonimizzazione del dato personale: una previsione obbligatoria che i Titolari dovranno adottare. Questo è il fulcro del Nuovo Regolamento Europeo sulla Data Protection, la tutela dell’interessato in quanto persona fisica, concetto che i relatori non si sono stancati di ribadire agli intervenuti.

Tra i nuovi adempimenti si approfondiscono l’obbligo di predisposizione da parte del Titolare e del Responsabile – quest’ultimo, si evidenzia, impegnato contrattualmente dal Titolare ai fini dell’accountability – di un registro delle attività di trattamento dei dati personali. E l’obbligo di notifica seguente a data breach, obbligo che, preme sottolineare, nella vecchia normativa interessa solo particolari casi.

Si è premesso quanto sia problematico e indifferibile l’adeguamento alla GDPR per il settore di sviluppo di soluzioni e di prodotti di natura informatica. Ai Titolari sarà richiesta particolare attenzione sui contratti stipulati con i Fornitori e con i Responsabili – soprattutto nel caso di trattamenti su commissione – che dovranno disciplinare anche i termini di data retention e le modalità di cancellazione sicura nel caso si interrompano i rapporti commerciali. Nondimeno i Fornitori dovranno dimostrarsi compliant alla normativa e, qualora il prodotto/servizio risulti non conforme, ne saranno ritenuti corresponsabili al pari del Titolare. Pertanto, durante la Round Table, sono stati analizzati i principi privacy by design e privacy by default. Tra i fondamenti della GDPR, se accuratamente tenuti presenti dal management aziendale, conciliandoli al business e ai processi, la privacy by design e la privacy by default consentono a tutti gli attori sovra citati di essere in linea con la normativa.

È inevitabile dunque aspettarsi da parte dei Fornitori di soluzioni ICT un approccio allo sviluppo dei prodotti, al mercato e alla pianificazione dei processi differente; ma ciò costituisce anche l’occasione per analizzare il proprio operato alla luce dei nuovi obblighi, e garantire al Cliente/Committente una compliance normativa alle origini del rapporto da instaurare o rinnovare, nonché di accrescere la propria competitività sul mercato.

In conclusione, conformemente alla rivoluzione derivante l’applicazione del Nuovo Regolamento Europeo sulla Data Protection, e maturando coscienza critica non tanto sulla tassatività di esso quanto sull’adesione ai principi e sulla logicità e coerenza delle misure adottate, la tutela del dato personale deve diventare una priorità all’interno di un’impresa. Sin dall’inizio del processo di compliance, la privacy deve essere integrata alla gestione aziendale e diventarne una funzione primaria ed esemplare.

Come fare? Acquisita una certa adeguatezza rispetto alla normativa pregressa, si ripensi ai processi, all’organizzazione e al business aziendale nell’ottica del nuovo quadro legislativo europeo.

 

Riproduzione riservata ©

ALTRE NEWS

Procedura semplificata per l’installazione di impianti di videosorveglianza nelle attività a rischio

L’installazione di impianti di videosorveglianza, all’interno di specifiche attività economiche, quali ricevitorie, tabaccherie, oreficerie, distributori di benzina o farmacie, particolarmente esposte al rischio rapina e… Leggi Tutto

Correttivi al CAD – Codice dell’amministrazione digitale

Lo schema di decreto legislativo approvato in prima deliberazione dal Consiglio dei Ministri l’8 settembre 2017 reca disposizioni integrative e correttive al decreto legislativo 26… Leggi Tutto

PEC, verso l’elenco

Istituito l’INI-PEC: indirizzi PEC di imprese e professionisti in un grande registro nazionale. Pochi mesi per comunicare i dati, poi un aggiornamento giornaliero. Quali scenari… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.