GDPR e adeguamento: con un percorso sistematico e coerente la privacy non fa paura
Con la pubblicazione in Gazzetta Ufficiale del 4 Maggio 2016 si è concluso il lungo iter della General Data Protection Regulation (GDPR) iniziato oltre quattro anni fa. Il Regolamento sarà a tutti gli effetti applicabile a decorrere dal 25 maggio 2018. La Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini è invece vigente dal 5 maggio, impegnando gli Stati membri a recepirne le disposizioni nel diritto nazionale entro 2 anni.
Il Regolamento (UE) 2016/679 rappresenta la svolta decisiva che segna la fine delle frammentate e disomogenee legislazioni nazionali in materia di privacy, e lascia il posto ad un testo unico di riferimento che armonizzerà l’attuale puzzle normativo negli Stati membri. Uno degli aspetti di rilievo del nuovo Regolamento è la prospettiva di continuità in relazione a quanto previsto dall’attuale Codice della Privacy e dalle normative esistenti, quali il D.Lgs. 231/2001 o lo Statuto dei Lavoratori, norme che saranno coercitive per tutto il periodo di transizione.
Considerando che, in caso di violazione del trattamento dati di cui è Titolare l’azienda, la stessa potrà essere sottoposta ad una sanzione sino al 4% del fatturato annuo globale mondiale, è essenziale che ogni azienda in qualità di Titolare del trattamento, effettui un’analisi attenta di quelli che saranno gli effetti che il Regolamento produrrà sulle singole Direzioni e, quindi, sulla gestione interna dei dati detenuti in formato elettronico.
L’approccio di base è quello di rendere proporzionate le responsabilità dei titolari dei trattamenti rispetto al livello di rischio che grava sui trattamenti stessi. Questo non solleva alcun settore produttivo dal rispettare la norma nel suo complesso, qualunque sia il core business, ma punta a non appesantire le imprese, a basso rischio sulla data protection, con oneri troppo gravosi ed immotivati. Resta il fatto che le Direzioni aziendali giocheranno un ruolo centrale nel passaggio alla nuova normativa. Ed è proprio sulle principali Divisioni operative delle imprese che si concentra la nostra attenzione.
Quali i punti cardine a livello generale:
- Privacy quale sistema di gestione dei dati: essenziale poter ricostruire il flusso relativo ai dati sulla base dell’organizzazione aziendale catalogando i trattamenti sia per direzioni e ricostruendo le eventuali interazioni tra direzione e direzione rispetto al transito del dato personale.
- Mappatura ruoli e organigramma privacy: mappatura dei ruoli dei soggetti che intervengono nel trattamento e realizzazione di un organigramma sotto il profilo privacy.
- Policy e buone pratiche: Il principio dell’accountability, fortemente rafforzato nel Regolamento Europeo, stabilisce che spetta al Titolare dimostrare l’aderenza dell’azienda alle disposizioni. Documentazione e buone pratiche sono fondamentali, ma vanno attentamente studiate e realizzate ‘su misura’ per ogni organizzazione.
- Privacy by design e by default: Titolari e Responsabili dovranno porre in atto misure tecniche organizzative adeguate per garantire ed essere in grado di dimostrare sin dall’origine che il trattamento dei dati è conforme al nuovo quadro normativo. Questo implica rinnovati equilibri contrattuali con i fornitori che dovranno assicurare misure tecniche organizzative idonee a soddisfare il rispetto del Regolamento.
- Strumenti operativi: Privacy Risk Assesment – essenziale per individuare e tracciare un perimetro dei rischi a cui è sottoposto un processo e Privacy Impact Assessment, un documento, in alcuni casi specifici previsto obbligatoriamente dal Regolamento, contenente accanto alla descrizione sistematica dei trattamenti previsti e delle finalità, valutazioni specifiche rispetto a necessità, proporzionalità e rischi del trattamento nonché le misure di sicurezza e le garanzie per farvi fronte.
- Data retention e PIA: dovranno essere stabiliti i termini di conservazione per ogni tipologia di trattamento, contemperando l’obbligo di conservazione previsto dalla legge per taluni documenti e taluni dati rispetto all’obbligo di cancellazione che il Regolamento renderà ancor più coercitivo. In alcuni casi sarà obbligatorio per le aziende redigere anche un Privacy Impact Assessment: il cosiddetto PIA, un documento che dovrà contenere gli aspetti relativi all’impatto, dal punto di vista della sicurezza della gestione dei dati, che il trattamento posto in essere potrà avere sui medesimi.
Le Direzioni ed il Regolamento: alcuni spunti
Direzione IT ed Ufficio acquisti
- Individuazione delle misure tecniche ed organizzative più idonee rispetto al core business e alla specificità dell’azienda utilizzando l’elemento normativo come strumento per ottimizzare i flussi e creare percorsi ben definiti rispetto alla gestione dei dati.
- Supervisione e modifica degli aspetti contrattuali riferiti alla scelta di determinati software, prodotti o partners commerciali.
- Revisione contratti pluriennali e soluzioni tecnologiche già in uso.
- Gestione delle implicazioni connesse al trattamento di dati e al trasferimento fuori dai confini europei, a livello tecnologico, contrattuale e di sicurezza.
Marketing
Il Regolamento rappresenta di fatto un’occasione per analizzare nuovamente database, CRM e workflow operativi alla luce delle nuove disposizioni.
Direzione HR
- Gestire l’intero processo riorganizzativo partecipando attivamente alla definizione dei nuovi processi.
- Monitorare la circolazione di dati in uscita ovvero le informazioni dei dipendenti che vengono condivise con soggetti esterni.
- Corretto utilizzo di strumenti di tecno-controllo, con specifico riferimento alla nuova definizione dell’art. 4 dello Statuto dei Lavoratori.
- Revisione accurata delle clausole contrattuali con fornitori e collaboratori esterni (APL, consulenti, software di Business Intelligence, ecc.).
Uffici legali, Audit e Compliance
- Mappatura chiara e attenta dei ruoli e dei trattamenti dati all’interno delle aziende è punto di partenza condiviso per tutte le Direzioni. Le nomine non sono infatti un mero adempimento burocratico, ma devono essere tarate sulle effettive competenze e ruoli operativi svolti dalle risorse interne.
- Garantire l’adesione alla normativa supportando le altre divisioni d’impresa.
- In caso di data breach, intervenire tempestivamente (assieme al comparto IT) per adempiere agli obblighi di notifica previsti.
Risulta evidente come il percorso di adeguamento debba essere sistematico e coerente. Colin & Partners è in grado di operare concretamente all’interno delle realtà di business, affiancando il management nell’iter di analisi ed integrazione dell’elemento normativo alla situazione esistente. La costanza di aggiornamento e una trasposizione chiara, pratica e qualificata, rispetto al core business del Cliente, costituiscono il valore aggiunto dei nostri servizi di consulenza professionale. Obiettivo primario è infatti consentire alle imprese di essere regolarmente allineate rispetto al contesto tecnologico e all’evoluzione normativa, massimizzando le modalità di azione nel settore di mercato ricoperto.
Contattateci per un colloquio conoscitivo.