Posted on Apr 16, 2018 by MRG

Il tema della privacy è di particolare attualità nelle ultime settimane, in parte per lo scandalo di Facebook e le interferenze nel voto americano e in parte per l’avvicinarsi della fatidica data del 25 maggio 2018, giorno nel quale entrerà in vigore il GDPR (General Data Protection Regulation) ovvero il Regolamento UE 2016/679 in materia di dati personali. Considerata la prossimità della data è necessario essere preparati, proviamo a rispondere a qualche informazione a riguardo.

Partiamo con la definizione di dato personale, da definizione del Garante per la privacy: “le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..”. Si dividono in dati identificativi (nome, cognome…), sensibili (su salute, etnia, religione) e giudiziari.

Un primo importante dubbio che può sorgere: il GDPR è applicabile anche per la mia azienda? La risposta è si, se lavori in Europa o tratti dati di persone sul suolo europeo. Il GDPR è applicabile a tutte le aziende, non solo ai colossi come Facebook, anche se vi sono significative differenze negli obblighi sia in virtù della dimensione (le Pmi sono esonerate da alcuni obblighi) e dal tipo di trattamento di dati (chi tratta dati sensibili, condanne personali e grandi quantità di dati ha obblighi maggiori).

Tolto il primo dubbio sull’applicabilità, la seconda domanda è: cosa devo fare per adeguarmi? L’approccio basato sul rischio suggerito dal garante è molto pragmatico: elenco i dati trattati in azienda, valuto il rischio legato al trattamento, definisco una soluzione che deve essere robusta sin dal design dal punto di vista informatico, procedurale e legale. L’approccio è pienamente condivisibile: appare evidente che se tratto dati sensibili dovrò adottare delle protezioni molto più alte di quanto devo adottare se tratto dati personali legati ai dipendenti e alla gestione delle fatture.

A livello di figure legate alla privacy, oltre a quelle del titolare e del responsabile del trattamento, che seppur diversi erano già presenti nel D.Lgs. 196/203, il GDPR introduce la figura del DPO (Data Protection Officer), un esperto privacy che supporta il Titolare nella supervisione e nelle decisioni, obbligatoria in talune circostanze (per la P.A. e in virtù del trattamento svolto sui dati).

In generale, devo rispettare alcuni principi che oltre ad essere descritti nell’art. 5 del GDPR sono anche di buon senso: quando raccolgo i dati devo (se possibile) informare in maniera chiara e precisa l’interessato, raccogliere i dati che mi servono e non di più, proteggerli, renderli accessibili all’interessato. Oltre a rispettare i principi, devo poter comprovare che li sto rispettando. Ciò significa che devo preparare la documentazione in maniera adeguata per poter essere pronto a una ispezione del Garante o della Guardia di Finanza, perchè l'onere dei controlli è stato affidato a questo corpo.

L’implementazione di modelli gestionali e la loro certificazione (per es. ISO 27001 su security, ISO 29151 su privacy, o ISO 9001 integrata con i requisiti privacy) possono concorrere a testimoniare che l’azienda ha un metodo strutturato nella gestione privacy e possono quindi servire come prove nel momento dell’ispezione.

Ultima considerazione sulle sanzioni: cosa rischio se non applico correttamente il GDPR? La risposta è semplice e, forse, sgradevole: a seconda delle inadempienze che commetto, la pena massima è 10 milioni di euro o 2% fatturato e 20 milioni o 4% fatturato. Inutile dire che le sanzioni sono particolarmente severe (pensate anche sensibilizzare le multinazionali poco riguardose nei riguardi dei dati personali), dal 25 maggio potremo valutare come saranno applicate.

Il percorso per l’adeguamento può avere una complessità variabile a seconda del contesto aziendale, in ogni caso non va sottovalutato perché il tema è delicato e le sanzioni possono essere molto pesanti.

QSA è pronta a mettere a servizio la propria esperienza nel mondo della conformità e della gestione della privacy per supportare i clienti (aziende, cooperative, associazioni e P.A.) nel percorso dell’adeguamento al GDPR.

Servizi QSA:

Pre-compliance audit: i nostri consulenti svolgono l'analisi della gestione della privacy in azienda e indicano le azioni necessarie al fine di raggiungere la conformità.

Adeguamento: I nostri consulenti supportano l'azienda nell'implementazione delle soluzioni tecnico-organizzative per soddisfare adempiere agli obblighi del GDPR.

Formazione: Formazione del personale sul regolamento e le misure tecnico organizzative

DPO: Data Protection Officer

comments powered by Disqus