Il nuovo Regolamento comunitario si affianca all’attuale codice sulla privacy d.lgs 196/2003, abrogando implicitamente le disposizioni di quest’ultimo che non siano coerenti con il Regolamento stesso. Ad oggi si attendono ancora alcuni chiarimenti importanti da parte del Garante Privacy, ma il quadro che emerge è già delineato e appare in tutta evidenza che sarà necessario implementare le procedure di tutela della privacy oggi in essere e modificare/integrare la documentazione attualmente in adozione.
La nuova disciplina privacy investe senz’altro tutti coloro che trattano dati di terzi PERSONE FISICHE, ma l’adeguamento alle nuove regole comunitarie appare senz’altro di maggior rilevanza per coloro che trattano DATI SENSIBILI, che fanno operazioni di PROFILAZIONE di dati, che usano comunemente strumenti elettronici per il trattamento e la conservazione dei dati in ARCHIVI ORGANIZZATI.
Si tratta pertanto di intraprendere un percorso di implementazione delle procedure richieste dalla nuova normativa, percorso che possiamo brevemente riassumere come segue e che andrà beninteso calato in modo specifico nelle singole realtà aziendali/professionali:
1) ATTIVITA’ DI AUDIT, DI MAPPATURA DEI DATI E DI INDIVIDUAZIONE DEI SOGGETTI COINVOLTI NEL TRATTAMENTI DEI DATI
L’audit privacy è uno strumento di verifica della conformità dell’azienda dai punti di vista della conservazione del trattamento dei dati. Durante l’audit si procede preliminarmente alla mappatura dei dati oggetto di trattamento e vengono svolte verifiche formali ed evidenziate situazioni critiche o prassi errate. La mappatura dei dati richiede di procedere all’individuazione delle categorie di dati oggetto di trattamento, all’individuazione delle operazioni di trattamento effettuate (modalità e luogo) e delle finalità del trattamento stesso.
Una volta fatta la mappatura dei dati, vanno individuate le figure coinvolte nel trattamento e vanno redatte specifiche nomine di natura contrattuale.
L’attività di audit passa inoltre per l’analisi della documentazione privacy attualmente in uso, l’esame delle procedure di trattamento e di conservazione dei dati raccontate per voce dei soggetti coinvolti nel trattamento mediante interviste ad hoc.
Specifica attenzione viene dedicata al sistema informatico per verificare che i dati siano tutelati da sufficienti misure di sicurezza e che lo stesso risponda ai nuovi requisiti richiesti di privacy by design (protezione dei dati fin dalla progettazione) e di privacy by default (protezione dei dati per impostazione predefinita), interfacciandosi – ove necessario – con software-house e personale IT.
2) IMPLEMENTAZIONE PROCEDURE E DOCUMENTAZIONE
Completata l’attività di audit, si procede con l’analisi dei rischi connessi al trattamento e l’implementazione di un modello organizzativo che risponda al principio ispiratore della riforma, ovvero quello dell’accountability.
Il titolare del trattamento in questo contesto dovrà non solo adottare le misure sufficienti a garantire la conformità al GDPR, ma dovrà anche poter dare prova dell’adeguatezza del modello adottato a prevenire al massimo i rischi connessi al trattamento dei dati. Questo processo passa necessariamente per l’implementazione di una serie articolata di documenti, tra cui il Registro dei Trattamenti, il DPIA – Data Protection Impact Assessment, l’organigramma dei soggetti coinvolti e i relativi contratti di nomina, il codice di condotta, le informative privacy. Oltre alle consuete figure del titolare, responsabile e degli incaricati, va valutata l’opportunità di nominare o meno il DPO – Data Protection Officer, un organo di vigilanza chiamato a garantire indipendenza di giudizio e competenze specifiche, quest’ultimo dovrà in particolare conoscere la normativa privacy, avere doti manageriali e familiarità con le tecnologie informatiche.
3) FORMAZIONE DEL PERSONALE
Principio centrale del GDPR è quello dell’accountability, di cui la formazione è diretta espressione, affinché i processi organizzativi adottati non restino sulla carta, ma possano tradursi in azioni concrete e prassi comportamentali che passano necessariamente per la formazione del personale che compie operazioni di trattamento dei dati. Sarà quindi necessario programmare corsi collettivi o individuali di vario livello o comunque fornire istruzioni precise agli operatori sulle procedure da seguire.
4) VIGILANZA SUCCESSIVA
La valutazione dei rischi privacy e le scelte che ne conseguono devono essere sottoposte a continuo monitoraggio al fine di verificare la costante adeguatezza delle misure di sicurezza adottate. L’insorgenza di nuovi o diversi rischi impone al titolare di procedere ad un riesame della valutazione. La sicurezza è un concetto da intendersi in modo dinamico e relazionale, con ciò intendendo che anche la formazione e la sensibilizzazione del personale ai codici di condotta deve essere a sua volta oggetto di monitoraggio.