Cosa Fare per adeguarsi al Nuovo Regolamento Europeo GDPR 2016/679?
In questa fase è necessario che l’azienda comprenda l’importanza, e il valore che hanno le informazioni che possiede (i dati personali), soprattutto se relativi ai clienti. Quindi l’azienda non deve tanto interrogarsi su “Quanto costa un progetto di adeguamento al GDPR?” ma “Quanto costa non adeguarsi al GDPR?”. O eventualmente “Quanto costa perdere delle informazioni e subire una violazione?”. Se un’azienda subisce una perdita di informazioni (dati) rilevanti, perde denaro, molto denaro, ciò è incontrovertibile.
In ogni caso, a prescindere dalla scelta che l’azienda opererà, da un punto di vista generale, sarà opportuno procedere con un modello di progetto di adeguamento al RGPD che consenta di:
- Assicurare un’applicazione coerente e omogenea delle norme a protezione del trattamento dei dati personali. In tal senso, è necessario svolgere una identificazione, comprensione e classificazione dei requisiti normativi indicati non solo dal GDPR, ma monitorando anche costantemente l’uscita di disposizioni e linee guida emanate dalle Autorità preposte;
- Valutare le implicazioni che le nuove disposizioni determinano sui processi/sistemi già esistenti;
- Stabilire quali sono le nuove disposizioni che presentano un maggiore impatto dal punto di vista delle azioni che le stesse devono intraprendere per adeguarsi al GDPR;
- Effettuate tutte le opportune valutazioni preliminari sino ad ora illustrate. Si può quindi iniziare ad agire concretamente per modificare i processi e le attività dell’azienda e portarli a conformità del GDPR. Non bisogna dimenticarsi di adempiere comunque ai provvedimenti del Garante Privacy.
E’ possibile semplificare un progetto di adeguamento al Nuovo Regolamento Europeo GDPR 2016/679 in step.
Si dovrà considerare
- Valutazione della situazione attuale: raccolta di tutte le informazioni sull’organizzazione aziendale, analisi e valutazione della documentazione in uso;
- Creazione del Registro dei Trattamenti (art.30, par. 5 GDPR), tutti i titolari e i responsabili del trattamento. Sono eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio devono tenere un registro dei trattamenti effettuati, in forma scritta, anche elettronica. Dovrà essere esibito dietro richiesta del Garante. E’, in pratica, un documento volto a tenere traccia dei trattamenti effettuati da parte del titolare e degli eventuali responsabili. Deve contenere le finalità del trattamento, una descrizione delle categorie di interessati e dei dati personali. Ma anche i destinatari, gli eventuali trasferimenti verso Paesi terzi e una descrizione generale delle misure di sicurezza;
- Individuazione dei Ruoli e delle Responsabilità dei soggetti che effettuano il trattamento;
- Formazione (art. 29 e art. 32 del GDPR) dei responsabili e degli incaricati al trattamento aziendali. Chiunque agisca sotto l’autorità del Titolare del Trattamento e abbia accesso ai dati personali, non può trattare dati se non ha a priori avuto un’opportuna formazione. Questa dovrà presentare un taglio interdisciplinare, e fornire conoscenze sui rischi generali e specifici dei trattamenti di dati. Comprende anche le misure organizzative, tecniche ed informatiche adottate dall’azienda, nonché la responsabilità e le sanzioni previste.
Altre considerazioni importanti da ricordare
- Definizione delle politiche di sicurezza e valutazione dei rischi: valutazione e attuazione di tutte le misure tecniche e organizzative adeguate per garantire, che il trattamento è effettuato conformemente al RGPD. Questa fase è espressione del principio di responsabilizzazione del titolare (accountability). Per far questo il Titolare del Trattamento dovrà tenere debitamente conto della tecnologia disponibile e dei sistemi informatici. Più nello specifico alcune delle misure che il titolare può concretamente adottare sono: la pseudonimizzazione e la cifratura dei dati personali. La capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali. Anche la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico e tecnico. E’ prevista una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
- Processo di Data Breach: al fine di assicurarsi di aver adottato tutte le procedure idonee a scoprire eventuali violazioni. Ma anche a generare adeguata reportistica e indagarne le cause nonché gli effetti della violazione subita;
- Valutazione d’impatto sulla protezione dei dati personali DPIA (valutazione obbligatoria in tutti i casi in cui il trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche). Al fine di assicurare trasparenza nelle operazioni di trattamento dei dati personali e adeguata protezione agli stessi, implica che il titolare effettui precise e adeguate valutazioni d’impatto privacy. Attraverso tale istituto è possibile, quindi, valutare gli aspetti relativi alla protezione dei dati, prima che questi vengano trattati.
E infine
- Implementazione dei processi per l’esercizio dei diritti dell’interessato e predisposizione tra l’altro di opportuna Informativa (art. 13 e art. 14 del GDPR). Ovvero una comunicazione rivolta all’interessato finalizzata ad informarlo sulle finalità e le modalità del trattamento dei dati. Anche a permettere che l’interessato possa rendere un valido consenso, se necessario;
- Individuazione e Nomina di un Data Protection Officer (DPO) (art. 37 del GDPR), obbligatorio per le amministrazioni e gli enti pubblici, ad eccezione delle autorità giudiziarie. Per tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono un monitoraggio regolare e sistematico degli interessi su larga scala. Anche per soggetti la cui principale attività consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici. La responsabilità primaria di tale figura è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda. Ciò vale affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.