GDPR e adeguamento: con un percorso sistematico e coerente la privacy non fa paura

12/09/2016
di Leonardo

Con la pubblicazione in Gazzetta Ufficiale del 4 Maggio 2016 si è concluso il lungo iter della General Data Protection Regulation (GDPR) iniziato oltre quattro anni fa. Il Regolamento sarà a tutti gli effetti applicabile a decorrere dal 25 maggio 2018. La Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini è invece vigente dal 5 maggio, impegnando gli Stati membri a recepirne le disposizioni nel diritto nazionale entro 2 anni.

Il Regolamento (UE) 2016/679 rappresenta la svolta decisiva che segna la fine delle frammentate e disomogenee legislazioni nazionali in materia di privacy, e lascia il posto ad un testo unico di riferimento che armonizzerà l’attuale puzzle normativo negli Stati membri. Uno degli aspetti di rilievo del nuovo Regolamento è la prospettiva di continuità in relazione a quanto previsto dall’attuale Codice della Privacy e dalle normative esistenti, quali il D.Lgs. 231/2001 o lo Statuto dei Lavoratori, norme che saranno coercitive per tutto il periodo di transizione.

dirittoinf_3782517_xlConsiderando che, in caso di violazione del trattamento dati di cui è Titolare l’azienda, la stessa potrà essere sottoposta ad una sanzione sino al 4% del fatturato annuo globale mondiale, è essenziale che ogni azienda in qualità di Titolare del trattamento, effettui un’analisi attenta di quelli che saranno gli effetti che il Regolamento produrrà sulle singole Direzioni e, quindi, sulla gestione interna dei dati detenuti in formato elettronico.

L’approccio di base è quello di rendere proporzionate le responsabilità dei titolari dei trattamenti rispetto al livello di rischio che grava sui trattamenti stessi. Questo non solleva alcun settore produttivo dal rispettare la norma nel suo complesso, qualunque sia il core business, ma punta a non appesantire le imprese, a basso rischio sulla data protection, con oneri troppo gravosi ed immotivati. Resta il fatto che le Direzioni aziendali giocheranno un ruolo centrale nel passaggio alla nuova normativa. Ed è proprio sulle principali Divisioni operative delle imprese che si concentra la nostra attenzione.

Quali i punti cardine a livello generale:

  • Privacy quale sistema di gestione dei dati: essenziale poter ricostruire il flusso relativo ai dati sulla base dell’organizzazione aziendale catalogando i trattamenti sia per direzioni e ricostruendo le eventuali interazioni tra direzione e direzione rispetto al transito del dato personale.
  • Mappatura ruoli e organigramma privacy: mappatura dei ruoli dei soggetti che intervengono nel trattamento e realizzazione di un organigramma sotto il profilo privacy.
  • Policy e buone pratiche: Il principio dell’accountability, fortemente rafforzato nel Regolamento Europeo, stabilisce che spetta al Titolare dimostrare l’aderenza dell’azienda alle disposizioni. Documentazione e buone pratiche sono fondamentali, ma vanno attentamente studiate e realizzate ‘su misura’ per ogni organizzazione.
  • Privacy by design e by default: Titolari e Responsabili dovranno porre in atto misure tecniche organizzative adeguate per garantire ed essere in grado di dimostrare sin dall’origine che il trattamento dei dati è conforme al nuovo quadro normativo. Questo implica rinnovati equilibri contrattuali con i fornitori che dovranno assicurare misure tecniche organizzative idonee a soddisfare il rispetto del Regolamento.
  • Strumenti operativi: Privacy Risk Assesment – essenziale per individuare e tracciare un perimetro dei rischi a cui è sottoposto un processo e Privacy Impact Assessment, un documento, in alcuni casi specifici previsto obbligatoriamente dal Regolamento, contenente accanto alla descrizione sistematica dei trattamenti previsti e delle finalità, valutazioni specifiche rispetto a necessità, proporzionalità e rischi del trattamento nonché le misure di sicurezza e le garanzie per farvi fronte.
  • Data retention e PIA: dovranno essere stabiliti i termini di conservazione per ogni tipologia di trattamento, contemperando l’obbligo di conservazione previsto dalla legge per taluni documenti e taluni dati rispetto all’obbligo di cancellazione che il Regolamento renderà ancor più coercitivo. In alcuni casi sarà obbligatorio per le aziende redigere anche un Privacy Impact Assessment: il cosiddetto PIA, un documento che dovrà contenere gli aspetti relativi all’impatto, dal punto di vista della sicurezza della gestione dei dati, che il trattamento posto in essere potrà avere sui medesimi.

Le Direzioni ed il Regolamento: alcuni spunti

byod_21646363_xxlDirezione IT ed Ufficio acquisti

  • Individuazione delle misure tecniche ed organizzative più idonee rispetto al core business e alla specificità dell’azienda utilizzando l’elemento normativo come strumento per ottimizzare i flussi e creare percorsi ben definiti rispetto alla gestione dei dati.
  • Supervisione e modifica degli aspetti contrattuali riferiti alla scelta di determinati software, prodotti o partners commerciali.
  • Revisione contratti pluriennali e soluzioni tecnologiche già in uso.
  • Gestione delle implicazioni connesse al trattamento di dati e al trasferimento fuori dai confini europei, a livello tecnologico, contrattuale e di sicurezza.

Marketing

Il Regolamento rappresenta di fatto un’occasione per analizzare nuovamente database, CRM e workflow operativi alla luce delle nuove disposizioni.

Direzione HR

  • Gestire l’intero processo riorganizzativo partecipando attivamente alla definizione dei nuovi processi.
  • Monitorare la circolazione di dati in uscita ovvero le informazioni dei dipendenti che vengono condivise con soggetti esterni.
  • Corretto utilizzo di strumenti di tecno-controllo, con specifico riferimento alla nuova definizione dell’art. 4 dello Statuto dei Lavoratori.
  • Revisione accurata delle clausole contrattuali con fornitori e collaboratori esterni (APL, consulenti, software di Business Intelligence, ecc.).

Uffici legali, Audit e Compliance

  • Mappatura chiara e attenta dei ruoli e dei trattamenti dati all’interno delle aziende è punto di partenza condiviso per tutte le Direzioni. Le nomine non sono infatti un mero adempimento burocratico, ma devono essere tarate sulle effettive competenze e ruoli operativi svolti dalle risorse interne.
  • Garantire l’adesione alla normativa supportando le altre divisioni d’impresa.
  • In caso di data breach, intervenire tempestivamente (assieme al comparto IT) per adempiere agli obblighi di notifica previsti.

Risulta evidente come il percorso di adeguamento debba essere sistematico e coerente. Colin & Partners è in grado di operare concretamente all’interno delle realtà di business, affiancando il management nell’iter di analisi ed integrazione dell’elemento normativo alla situazione esistente. La costanza di aggiornamento e una trasposizione chiara, pratica e qualificata, rispetto al core business del Cliente, costituiscono il valore aggiunto dei nostri servizi di consulenza professionale. Obiettivo primario è infatti consentire alle imprese di essere regolarmente allineate rispetto al contesto tecnologico e all’evoluzione normativa, massimizzando le modalità di azione nel settore di mercato ricoperto.

Contattateci per un colloquio conoscitivo.

Riproduzione riservata ©

ALTRE NEWS

Europei distratti sulla privacy?

Uno studio realizzato a livello EMEA da Opinium Research, commissionato da F5 Networks, rileva come molti utenti europei siano contraddittori e poco attenti alla tutela… Leggi Tutto

BYOD: impatti privacy e rischi – Da Privacy News, settembre/dicembre 2015

Un commento di Alessandro Cecchetti sul tema BYOD che ha trovato spazio sul numero di settembre/dicembre di Privacy News (pag. 37). La rivista in formato… Leggi Tutto

Privacy Shield, evoluzioni e riflessioni

Il Privacy Shield EU-USA, come ben noto, è un accordo stipulato tra Commissione Europea e Dipartimento del Commercio degli Stati Uniti al fine di fornire garanzie… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form