Regolamento Europeo Privacy: come adeguarsi al GDPR

Regolamento europeo privacy 2018 come adeguarsi

E’ ormai in vigore il nuovo Regolamento UE 2016/679 o GDPR (General Data Protection Regulation): dal 25 maggio 2018 tutte le aziende che trattano dati personali dovranno adeguarsi alla nuova normativa. Con la nuova normativa, la privacy si trasforma da pura formalità giuridica in vera e propria strategia aziendale.

La nuova legge europea sulla protezione dei dati personali introduce, infatti, un vero e proprio cambio di rotta in materia di gestione della privacy: viene abbandonato l’approccio di puro obbligo giuridico, basato su norme e adempimenti specificamente previsti (come ad esempio le misure minime di sicurezza da adottare), a favore di una nuova mentalità dove la gestione dei dati personali diventa un settore aziendale da integrare a tutti gli effetti con gli altri processi.

Vediamo insieme quali sono gli step che dovranno affrontare le aziende per adeguarsi al GDPR. In particolare parleremo di:

#1 Analisi preliminare: AS IS

Il primo step da affrontare è sicuramente quello della valutazione del “dove siamo” ossia della situazione attuale.

In questa fase sarà opportuno raccogliere (fare un vero e proprio inventario) tutte le informazioni che possono avere un’implicazione con i dati personali delle persone fisiche. Tale raccolta non deve limitarsi all’azienda stessa: nel caso in cui ci fossero aziende controllate o controllanti o comunque collegate l’analisi va estesa anche a queste realtà.

Nell’analisi del “AS IS” occorre fare una sorta di self screening di tutte le informazioni relative ai trattamenti dei dati: partendo da quelle prodotte per adeguarsi alla legislazione attuale (il Codice Privacy ed i provvedimenti del Garante Privacy), per poi raccogliere, più in generale, le informazioni relative a tutte le attività svolte e i settori di business in cui opera.

Alla fine di questa fase si sarà arrivati alla produzione di una documentazione descrittiva di tutti i processi di trattamento con dettaglio di tipo di dati e finalità, categoria di interessati, origine e destinazione dei dati, funzioni autorizzate all’accesso, terzi intervenienti, termini di conservazione, misure di sicurezza, e altro ancora.

E’ questa la fase in cui si può cominciare a creare una bozza del Registro delle attività di trattamento (articolo 30).

#2 Definizione della compliance target: TO BE

Una volta completata l’analisi preliminare interna, bisogna definire come adeguare la gestione dei trattamenti dei dati della propria realtà aziendale alla nuova normativa del GDPR. E’ ovvio che in questa fase sarà opportuno coinvolgere qualcuno (interno o esterno) che conosca bene il nuovo Regolamento Europeo e che sappia definire il “dove si deve arrivare” in base alla situazione rilevata e a quella legiferata.

Per fare un esempio delle attività da fare in questa fase, si potrebbe procedere con il verificare le proprie informative e determinare come debbano cambiare in base alle nuove disposizioni (dando particolare importanza alla definizione delle finalità e dei tempi di conservazione).

#3 Gap Analisys: definizione dei settori sui quali si deve colmare il gap

E’ in questa fase che viene definita la cosiddetta Gap Analysis ossia cosa deve essere cambiato e quanto deve cambiare.

Verrà in pratica prodotta una lista di attività, di modifiche ai processi ed ai sistemi, all’organizzazione ed ai contratti, che dovrà essere oggetto del piano di adeguamento per poter raggiungere il livello di compliance “target”.

In questa fase si dovrebbe stilare una specie di check list sul quale poi sviluppare il piano di adeguamento.
Una possibile check list (esemplificativa, ma non esaustiva):
» Informativa e Consenso
» Liceità dei trattamenti
» Diritti degli interessati
» Attività di trattamento e Registro delle attività di trattamento
» Trasferimento dati verso l’Estero
» Privacy by design e privacy by default
» DPIA ossia la valutazione d’impatto
» Livello di misure di sicurezza organizzative
» Livello di misure di sicurezza tecniche
» Data breach
» Codici di condotta e certificazioni (se previsti nel settore dove si opera)
» Fornitori e Partners con i quali si avrebbe una corresponsabilità per il trattamento dei dati personali e loro contratti
» Monitoraggio interno sull’intero processo
» Formazione personale sulla nuova privacy

Per ciascuna di queste voci si dovrebbe definire un obiettivo da raggiungere, al fine di permettere di adeguarsi alla compliance target, conformemente al GDPR.

Fatto questo, sarà opportuno fare una valutazione su come dovrà essere poi organizzato il successivo piano di adeguamento e, soprattutto, bisognerà capire se si è in grado di gestire il progetto solo con proprie risorse interne o si dovrà ricorrere alla consulenza esterna.

#4 Definizione di un piano di adeguamento

Individuati tutti i gap per ciascuno di questi occorrerà pianificare le dovute attività di correzione e/o di intervento. Obiettivo di questa fase sarà impostare una politica di gestione della privacy responsabile, adeguata e documentabile.

E’ sostanzialmente una fase di preparazione e pianificazione, in cui vengono sviluppati una serie di progetti, organizzati in funzione di settori e sotto-settori di lavoro, che saranno eseguiti separatamente e/o parallelamente, coinvolgendo tutte le attività interessate e le varie sedi coinvolte.

Ad esempio: nel settore “Legale” per il sotto-settore “Informativa” occorrerà predisporne una che sia conforme a quanto prescritto dal GDPR.

Per ciascuno di questi settori dovrà poi essere attribuita un’accountability univoca e condivisa tra i vari attori coinvolti.

#5 Identificazione dei ruoli e assegnazione del budget

Prima di passare all’implementazione del piano di adeguamento occorrerà individuare “chi farà cosa“, i ruoli di responsabilità, le risorse coinvolte e il budget disponibile per effettuare tutti gli interventi previsti.

Saranno quindi previsti gli attori (interni o esterni) che ricopriranno un ruolo attivo sia nell’esecuzione e monitoraggio del piano di adeguamento sia nel modello di funzionamento a regime ( titolare del trattamento, responsabile del trattamento, eventuale nomina del DPO, Data Protection Officier).

#6 Implementazione del piano di adeguamento

E’ il momento di passare all’azione!
Dal piano di adeguamento pianificato occorre adesso passare alla fase operativa.
A titolo d’esempio significa:

  • stesura e/o modifica delle varie documentazioni affinché siano complete e aggiornate, come prescritto dal GDPR (ad esempio le informative, i consensi, eccetera)
  • nomina del DPO, qualora obbligatorio
  • revisione delle misure di sicurezza
  • valutazione d’impatto sulla protezione dei dati personali: stesura dei DPIA (Data protection impact assessment) al fine di valutare con sistematicità i rischi legati alla privacy
  • formazione interna dei dipendenti e collaboratori

Raccomandazioni finali

Il passo preliminare perché il processo di adeguamento al GDPR vada a buon fine è sicuramente in primo luogo la conoscenza approfondita della nuova normativa e in secondo luogo ricevere non solo un endorsement dal management, ma anche e soprattutto un coinvolgimento adeguato di tutti gli stakeholder chiave.

Inoltre è bene tener presente che tutte le attività implementate devono sempre essere documentate e documentabili, in modo tale da poter sempre fornire la “comprova” che si sono espletate tutte le azioni al fine di ottemperare a quanto prescritto dal Regolamento.

Importantissimo poi capire quanto l’attività di monitoraggio sia importante dopo l’implementazione del piano di adeguamento: da questo momento in poi l’azienda dovrà procedere a monitorare costantemente la gestione dei trattamenti dei dati per non incorrere nelle pesanti sanzioni amministrative previste dal GDPR.

Tutte le aziende devono saper cogliere l’importanza ed il valore che hanno le informazioni che possiedono (i dati personali), soprattutto se relativi ai propri clienti. Quindi la domanda giusta non è “Quanto costa un progetto di adeguamento al RGPD?” ma “Quanto costa non adeguarsi al RGPD?” o “Quanto costa perdere delle informazioni e subire una violazione?”.

La Data Protection sarà sempre di più un fattore competitivo che porterà le aziende, che ne avranno compreso sin da subito l’importanza e la valenza come processo organizzativo di natura produttiva e non solo giuridica, ad avere una marcia in più e a non rischiare multe che possano mettere in grave crisi la vita stessa dell’azienda.

 

Vuoi saperne di più

Vuoi ricevere maggiori informazioni?
Contattaci subito: siamo a tua completa disposizione!