GDPR il nuovo regolamento per la privacy

GDPR 679/2016

General Data Protection Regulation

A partire dal 25 maggio 2018 è applicativo il Nuovo Regolamento Europeo per la protezione dei dati personali  (GDPR) che, unitamente alla disciplina italiana di armonizzazione (d.lgs. 101/2018) ha profondamente riformato la materia.

La nuova normativa, non si limita ad una revisione meramente formale degli adempimenti previsti per le imprese che trattano dati personali, ma ribalta completamente la prospettiva con la quale approcciare il tema del trattamento dei dati personali.

Finalmente, viene riconosciuto, il pregiudizio che la mancata protezione dei dati delle persone fisiche e la perdita di controllo sulla loro circolazione può provocare per gli individui.

Se il vecchio codice privacy prevedeva adempimenti di natura esclusivamente formale, il GDPR, obbliga il Titolare del trattamento  ad un approccio molto più concreto.

Al Titolare vine imposto di occuparsi di ogni aspetto relativo alla protezione dei dati personali fin dalla fase di progettazione del trattamento.

Con il termine “trattamento”, il GDPR, definisce all’Art. 4 “qualunque azione come la raccolta, la registrazione, l’uso, la consultazione …”.

Appare quindi chiaro, che secondo qusto nuovo approccio, la protezione dei dati debba essere applicata a qualunque azione effettuata con o senza strumenti informatici e che comportino o meno la memorizzazione di un dato.

Il principio di ``Accountability``

La responsabilizzazione del Titolare

Il Titolare del trattamento, tenuto conto della natura, del contesto e della finalità del trattamento, deve garantire e deve essere in grado di dimostrare (quindi rendere conto) che il trattamento è effettuato non solo in maniera conforme alla normativa ma in maniera tale da non comportare rischi per i diritti e le libertà degli interessati.

In questo senso, non è più sufficiente raggiungere la sola conformità normativa, ma il Titolare del trattamento, dovrà essere in grado di attuare “adeguate misure tecniche ed organizzative” atte alla protezione dei dati degli interessati.

Il GDPR, lascia quindi al Titolare piena libertà nella scelta dei propri strumenti e procedure la cui adeguatezza verrà poi eventualmente valutata dagli organi di controllo in caso di visita ispettiva o di violazione.

Le eventuali sanzioni o provvedimenti del Garante, saranno proporzionati al grado di accountability raggiunto dal Titolare.

Il titolare del trattamento, quindi, tenuto conto della natura, del contesto e della finalità del trattamento, deve garantire e deve essere in grado di dimostrare (quindi rendere conto) che il trattamento è effettuato non solo in maniera conforme alla normativa ma in maniera tale da non comportare rischi per i diritti e le libertà degli interessati.

In questo senso, non è più sufficiente raggiungere la sola conformità normativa, ma il Titolare del trattamento, dovrà essere in grado di attuare “adeguate misure tecniche ed organizzative” atte alla protezione dei dati degli interessati. Al Titolare viene quindi lasciata piena libertà nella scelta dei propri strumenti e procedure la cui adeguatezza verrà poi eventualmente valutata dagli organi di controllo in caso di visita ispettiva o di violazione. Le eventuali sanzioni o provvedimenti del Garante, saranno proporzionati al grado di accountability raggiunto dal Titolare.

Risk Based Thinking

L’approccio basato sul rischio

Il GDPR, come le ultime versioni delle norme ISO, introduce la necessità di adottare il risk based thinking, inteso come misura delle conseguenze del trattamento sui diritti e le libertà dell’interessato valutando ad esempio:

  • Comportamenti degli operatori: rischi di furto di credenziali di autenticazione, carenza di consapevolezza negli operatori, disattenzione, comportamenti sleali e/o fraudolenti, errore materiale.
  • Eventi relativi agli strumenti informatici: virus, malware o altro software malevolo; spam o altre tecniche di cyber sabotaggio, malfunzionamento delle macchine, indisponibilità o degrado degli strumenti, accessi telematici non autorizzati, intercettazione di informazioni in rete.
  • Eventi relativi allo spazio fisico: accessi non autorizzati a locali o reparti ad accesso ristretto, asportazione o furto di strumenti contenenti dati personali.
  • Eventi distruttivi: naturali, artificiali, dolosi, accidentali, dovuti ad incuria, guasto ai sistemi di sostegno (elettrico, climatizzazione), errori umani in fase di sicurezza.

In tal senso il Titolare dovrà sottoporre i propri trattamenti e le proprie misure di sicurezza ad una valutazione dei rischi volta a ricondurre il rischio residuo a livelli di accettabilità.

Perché rivolgersi a noi?

Perché la tutela dei dati personali non è più una cosa puramente formale, non è più un optional per le aziende europee e perché il rischio di incorrere in una violazione e di conseguenza di essere sottoposti a pesanti sanzioni è più che concreto.

In quest’ottica, nasce la necessità di essere affiancati a professionisti di indiscussa competenza e professionalità, che possano guidare le aziende non solo dal punto di vista formale ma soprattutto organizzativo. Occorre istituire un vero e proprio sistema di gestione che garantisca il massimo livello di accountability possibile.