Più si avvicina e più le aziende si chiedono se veramente sono preparate alla novità in arrivo: il GDPR, acronimo di General Data Protection Regulation, diventerà pienamente operativo dal 25 maggio 2018. A partire da questa data sarà direttamente applicato in tutti gli stati membri dell’Unione Europea il Regolamento UE 2016/679 .
Vediamo brevemente di cosa si tratta e come raggiungere la conformità con la normativa in 12 punti; al termine di questo articolo potrete scaricare la nostra Guida GDPR: cosa sapere e cosa fare.
Cos’è il GDPR?
Il GDPR è una legge Europea che stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei Dati personali, nonché norme relative alla circolazione di tali dati.
L’impianto normativo del GDPR prevede una fase preparatoria per essere in linea con il Regolamento europeo, e suggerisce i criteri da adottare per attivare un processo di miglioramento continuo nel tempo.
Nell’approcciare il GDPR vanno tenuti sempre presenti i tre cardini fondamentali del Regolamento e i diritti dell’Interessato.
I TRE CARDINI DEL GDPR
Il GDPR, nell’intenzione dei legislatori europei, è ispirato a tre cardini fondamentali che ogni impresa – in tutta la sua vita – dovrà sempre tenere ben presenti ed applicare in ogni scelta:
- Privacy by Default ovvero: ogni impresa è tenuta a tutelare la vita privata dei cittadini “di default” e cioè dev’essere una scelta di base, cosciente, predefinita e continuativa nel tempo che l’impresa deve trattare come valore fondante nel suo operare.
- Privacy by Design ovvero: la protezione dei dati dei privati cittadini deve partire dalla progettazione di ogni processo aziendale, deve esser parte del disegno iniziale e non un “adeguamento” postumo.
- Accountability, termine anglosassone che letteralmente significa “responsabilità”: potrebbe esser tradotto con “rendicontazione”, nell’accezione – affine alla responsabilità sociale – di dover “render conto a terzi delle scelte compiute”. Nell’intenzione dei legislatori europei, l’accountability indica aspetti quali l’affidabilità, la capacità e la competenza aziendale nella gestione dei dati personali.
DIRITTI DELL’INTERESSATO
I diritti fondamentali dell’Interessato, colui al quale si riferiscono i dati e che ne è l’unico proprietario, sono:
- Diritto all’Oblio – impone che, su semplice richiesta dell’Interessato, l’azienda elimini qualsiasi traccia dei dati raccolti (al posto della rimozione totale è consentita l’anonimizzazione).
- Diritto all’Accesso – assicura all’Interessato di poter ricevere una copia dei propri dati che sono noti ed in possesso del Titolare. Contestualmente all’Accesso il GDPR prevede l’obbligo, in capo al Responsabile, di dare risposta all’Interessato entro 1 mese dalla richiesta (fino a 3 mesi in casi di particolare complessità). Assieme all’Accesso è stato previsto anche il diritto alla Modifica e/o alla Rettifica.
- Diritto alla Portabilità – è il diritto concesso all’Interessato di far trasferire i suoi dati personali ad una terza parte ottenendone su semplice richiesta una copia o, se previsto dal Titolale, di ottenere il trasferimento diretto ed automatico da un Titolare ad un altro.
- Diritto alla Limitazione del trattamento – è il diritto di far sospendere il trattamento dei propri dati personali per bloccarne l’utilizzo da parte del Titolare.
CHECKLIST DI AUTOVALUTAZIONE
Con il GDPR dietro l’angolo, molte aziende sono alle prese con ciò che devono fare per garantire la conformità con la complessa normativa. Ecco, secondo noi, una pratica sequenza di punti da considerare in un processo di autovalutazione:
- Identificare tutti i Trattamenti di dati personali esistenti in azienda.
- Identificare Titolare e Responsabile del trattamento dei dati personali (per ogni trattamento definire Titolare e Responsabile).
- Istituire il Registro dei Trattamenti contenente tutti i Trattamenti di dati dell’azienda (in realtà avremo un Registro del Responsabile dei trattamenti ed un Registro del Titolare, che insieme riportano tutte le informazioni necessarie sui diversi trattamenti).
- Aggiornare Privacy Policy con una informativa completa, corretta, semplice e di facile consultazione.
- Adeguare la raccolta dei consensi al trattamento per ogni singola raccolta dati personali esistente (intervenire su testo dell’informativa e meccanismi di raccolta del consenso).
- Verificare per ogni trattamento e dato pre-esistente se il consenso al trattamento acquisito (se è stato acquisito) all’atto della registrazione dei dati è sufficiente, oppure se è necessario procedere nuovamente all’acquisizione del consenso rispetto al trattamento previsto.
- Far valere i diritti dell’Interessato ovvero rendere disponibili adeguati servizi che garantiscano di ottenere: oblio, accesso/modifica, portabilità e limitazione del trattamento; tali funzioni dovranno essere accessibili in modo semplice, veloce ed intuitivo … almeno quanto lo è stato la fase di raccolta. Nel caso sia necessario, le risposte dovute agli Interessati dovranno essere concise, trasparenti ed utilizzare un linguaggio semplice e di facile comprensione.
- Proteggere i Dati personali degli Interessati osservando le buone pratiche di qualità e sicurezza dei sistemi e delle procedure di trattamento dei Dati personali indipendentemente dalla loro forma (numerico/testuale/immagine/audio/video, logica/fisica) e dal supporto di memorizzazione (cartaceo, magnetico, elettronico, cloud…).
- Compiere il Risk Assessment per ogni trattamento identificato al fine di rilevare il livello di rischio per lo stesso.
- Eseguire tutte le azioni necessarie alla Mitigazione del rischio per tutti i trattamenti che hanno rivelato un livello di Rischio elevato (High Risk).
- Progettare ed erogare un Piano formativo a tutti gli Stakeholder per assicurare una corretta conoscenza del Regolamento al fine di consentire a ciascuno di gestire e compiere le proprie attività lavorative in modo informato.
- Predisporre il Piano di azione da attivare in caso di Data Breach ovvero quando si verificasse una violazione di dati personali.