Ad 8 mesi dal GDPR
Sono ormai trascorsi quasi otto mesi da quando il G.D.P.R. (General Data Protection Regulation) è divenuto applicativo e il panorama normativo è in piena evoluzione.
Dopo un primo momento costituito principalmente da una vera e propria “corsa all’adeguamento” dei ritardatari, si assiste ora ad una importante fase di revisione dei processi in essere, nonché di progettazione di quelli futuri.
Difatti, adeguarsi a quanto sancito dal G.D.P.R. non è che il primo step per raggiungimento di una situazione di equilibrio che possa essere intesa come conformità.
Conformità come Equilibrio
Il Regolamento europeo ha modificato sostanzialmente il concetto di conformità nell’ambito della protezione dei dati. Difatti, attualmente la conformità non è più una situazione statica da poter raggiungere con singoli adempimenti prestabiliti, ma consiste, piuttosto, in un continuo e costante monitoraggio sulle proprie attività di trattamento.
Per fare un esempio concreto, l’abrogazione dell’allegato n. 2 della L. 196/2003 (Codice Privacy, il quale elencava le misure di sicurezza minime da adottare) e l’introduzione delle misure minime “adeguate”, nonché del principio di accountability, hanno costretto Titolari e Responsabili di trattamento ad analizzare con criterio i propri processi, stabilendo standard di sicurezza in grado di tutelare i dati personali da minacce e pericoli in continua evoluzione.
Inoltre, questi soggetti dovranno, preferibilmente con l’assistenza di consulenti esperti (se non di D.P.O.), non solo vegliare sulle attività in essere, ma anche analizzare preventivamente ogni futuro progetto o strategia commerciale, rendendolo conforme alla normativa fin dalla progettazione (rispettando così i principi di privacy by design and by default).
La sensibilizzazione e la formazione
E’ opportuno ricordare come il G.D.P.R. costituisca una vera e propria risposta politica alla dilagante infiltrazione tecnologica all’interno delle vite delle persone fisiche e che, come tale, prescrive precisi obblighi e doveri di informazione e formazione.
La normativa ci proietta infatti verso un uso cosciente e responsabile delle tecnologie in un modo che va ben oltre alla fondamentale formazione aziendale.
In questo periodo, infatti, i Titolari e i Responsabili di trattamento stanno altresì implementando corsi volti alla specifica formazione del personale coinvolto nel trattamento dei dati, nonché, in certi casi, degli stessi utenti (basti pensare, ad esempio, agli istituti scolastici).
Le verifiche da parte dell’Autorità di controllo
Le verifiche sulla conformità al GDPR da parte del Garante per la Protezione dei Dati Personali (Autorità di controllo italiana), seppur con qualche attesa, sono già cominciate. Tuttavia, come chiarito più volte da parte dalla medesima autorità, anche in occasione di convegni ante e post applicazione del G.D.P.R., il fine non è certamente quello di “battere cassa”, quanto più quello di agevolare Titolari e Responsabili virtuosi nell’adeguamento alla normativa, sanzionando, anche severamente, quei soggetti che dovessero dimostrare dolo o disinteresse nell’applicazione della medesima.
Per tali ragioni stiamo assistendo ad una serie di attività di controllo collaterali, non meno importanti, come ad esempio le verifiche sulla conformità dei codici deontologici di categoria (tra gli ultimi, quello dei giornalisti) o sui grandi processi di trattamento (basti pensare al provvedimento d’urgenza sulla fatturazione elettronica).
Certamente da qui in avanti assisteremo anche a verifiche su singoli Titolari o Responsabili di trattamento ed è quindi fondamentale attivarsi nel più breve tempo possibile per il raggiungimento della conformità.
Gli adempimenti fondamentali
E’ opportuno ricordare i principali adempimenti ai quali sono tenuti Titolari e Responsabili di trattamento:
- attività di assessment e gap analysis, volta all’analisi della realtà professionale/aziendale, nonché delle misure di sicurezza fisiche, logiche ed organizzative applicate;
- valutazione circa l’opportunità/obbligo di nomina di un Data Protection Officer;
- messa in sicurezza di ogni aspetto critico;
- redazione del Registro delle attività di trattamento;
- redazione delle informative sul trattamento dei dati, le quali rispettino ogni requisito sancito dal G.D.P.R., a seconda del caso concerto;
- conferimento ufficiale degli incarichi ai singoli incaricati di trattamento (soggetti interni alla realtà professionale analizzata);
- conferimento dell’incarico, con accettazione, ai Responsabili esterni del trattamento, ai sensi dell’art. 28 del G.D.P.R.;
- conferimento di incarico specifico ad ogni eventuale Amministratore di sistema;
- redazione di codici di condotta per la sicurezza dei dati e per far fronte ad un eventuale data breach;
- corsi di formazione;
- studio dei futuri processi di trattamento e strategie di mercato, by design e by default.