Regolamento Generale Protezione Dati Personali: fasi del processo

protezione dati personali

Regolamento Generale sulla Protezione dei Dati Personali: Quali sono le principali fasi di gestione del processo?

 

Di Giuseppe Costantini e Rinaldo Piccolomini
19 Marzo, 2019 - 17.30

Il Regolamento Generale sulla Protezione dei Dati personali (RGPD) prevede l'obbligo per tutti i soggetti giuridici possessori di partita iva, siano essi pubblici o privati, che memorizzano/trattano dati personali di un cittadino dell’Unione Europea, di adottare tutte le misure idonee per il corretto trattamento dei dati. È dunque, una modifica radicale in termini di approccio che non indica concretamente quali accorgimenti adottare lasciando al soggetto il compito di individuare strategie, procedure, misure e strumenti in funzione della propria organizzazione (azienda, società, ente, ecc.).

Sebbene, nessuna misura standard sia in grado di garantire l’adeguamento alla normativa, è comunque possibile individuare una serie di linee guida per garantire la tutela dei dati personali:

  • In primo luogo è opportuno analizzare il contesto di riferimento per comprendere se sussistono specifiche normative di settore da tenere in considerazione per gli impatti che possono avere sul RGPD; quindi, si procede con una valutazione del soggetto giuridico e del quadro organizzativo di riferimento in cui è inserito (azienda singola o facente parte di un gruppo, società, studio associato, ecc.).
  • Osservando il principio di “minimizzazione”, aspetto rilevante nel RGPD, per cui è necessario coinvolgere solo i soggetti che trattano dati personali, si stabiliscono quali figure interne e/o esterne alla propria organizzazione coinvolgere e come esse, in relazione al ruolo ricoperto e alle responsabilità attribuite, debbano operare nel rispetto degli obblighi normativi. A questo proposito è opportuno prevedere una adeguata formazione dei soggetti coinvolti, finalizzata non solo alla comprensione degli aspetti operativi, ma anche di quelli comportamentali.
  • Per circoscrivere l’ambito di intervento è poi necessario valutare la natura dei dati, quali trattamenti vengono effettuati su di essi e in che modalità, le finalità e la base giuridica su cui si fonda il trattamento. Dalle risultanze di questa attività si potrà stabilire una adeguata strategia in grado di garantire la protezione dei dati.
  • Sebbene non sia sempre obbligatorio, la tenuta del registro delle attività di trattamento è certamente uno degli accorgimenti utili a delimitare il perimetro di tutte le informazioni inerenti ai singoli trattamenti consentendo al Titolare e al Responsabile del trattamento di disporre di uno strumento in grado di dimostrare, anche ai fini probatori, la corretta applicazione della norma.
  • Redazione e distribuzione/pubblicazione delle informative (clienti, dipendenti, responsabili del trattamento, web users, ecc.) ivi incluse, ove necessario, le richieste di consenso al trattamento dei dati personali;
  • Prima di iniziare qualsiasi trattamento o nel caso in cui è già posto in essere ma non ancora si è proceduto, è opportuno (e in molti casi necessario) effettuare una valutazione di impatto (DPIA) per l’individuazione di misure adeguate a mitigare i rischi che incombono sui dati. L’attività comprende:
    • Censimento e valutazione degli asset intesi come beni strumentali e non (hardware, software, servizi, procedure, ecc.) che hanno impatto sui dati personali;
    • valutazione delle minacce che incombono sui dati da proteggere;
    • individuazione dei controlli da porre in essere per la valutazione delle vulnerabilità;
    • calcolo del rischio per ogni asset censito;
  • Analisi finale del sistema di data governance in relazione alle misure intraprese a protezione dei dati (accettazione del rischio) e dei possibili miglioramenti.
  • Una corretta applicazione della norma dovrebbe prevedere a supporto delle varie fasi di gestione del processo di data governance la messa a punto delle seguenti politiche e procedure:
    • politica di conservazione dei dati;
    • politica di backup;
    • politica di trasparenza sulla raccolta dei dati;
    • gestione degli incidenti di sicurezza (data breach);
    • misure a presidio relative alla prevenzione o mitigazione del rischio delle violazioni (data breach);
    • gestione delle notifiche verso terzi in caso di violazione (data breach), registro delle violazioni ed eventuale notifica al garante;
    • procedura di gestione del consenso e revoca;
    • procedure di gestione per l’esercizio dei diritti dell’interessato;
    • procedure di backup e registro dei backup;
    • piani per la formazione nell’ottica del continuo miglioramento;

Questo breve quadro descrittivo, testimonia l’abbandono di un tipo di approccio, quello tradizionale, il quale muta e approda ad uno decisamente più dinamico. Si fa riferimento alle normative precedenti (D.Lgs.196/2003 ad esempio), in cui è ancora predominante un metodo “statico” di adeguamento, come una serie di oneri legali da assolvere già fermamente prefissati dalla legge. Contrapposto a questo, si erge il principio di responsabilizzazione del nuovo Regolamento Europeo (RGPD) che capovolge il concetto di adeguamento, non più prescrivendo astrattamente e alla lettera il comportamento da tenere in ogni singola fattispecie dai soggetti chiamati a recepire le regole, bensì fornendo loro le coordinate per prendere coscienza della loro posizione in ambito privacy, e invitandoli a disegnare la loro personalissima gestione dei processi. Tutto ciò apre ad nuovo mondo, ancora in larga parte inesplorato, che nasconde insidie certo, ma anche enormi opportunità, dove il sistema di gestione privacy va prima architettato con perizia, e poi su solide basi procedurali, sviluppato e continuamente declinato seguendo le scelte del Titolare del trattamento. E’ il nuovo mondo della privacy.

Comments are closed, but trackbacks and pingbacks are open.