Il 25 Maggio 2018 è entrato in vigore il Regolamento UE 2016/679 conosciuto come GDPR, acronimo di General Data Protection Regulation il cui obiettivo è la protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.
Non ci sono più scuse, le aziende i professionisti e tutti quelli che a qualsiasi titolo trattano dati personali devono adeguarsi.
Il testo del decreto italiano sulla privacy per l’adeguamento al GDPR è stato pubblicato in Gazzetta Ufficiale del 4 settembre 2018.
L’atteso decreto attuativo di armonizzazione delle regole sulla privacy al Regolamento UE 2016/679 recepisce le numerose novità in materia di tutela dei dati.
Non siamo di fronte ad un nuovo Codice con contenuti predefiniti ma ad un Regolamento con un approccio completamente nuovo che viene riconosciuto con due denominazioni: Privacy by design e Privacy by default. La cosiddetta Privacy by design implica la proattività dell’azienda e non la sua reattività rispetto a una norma fissa o a un codice.
Occorre prevedere modalità operative, configurazioni e misure di sicurezza per garantire la riservatezza e l’integrità dei dati personali by default, ovvero con una pratica certa dal momento in cui i dati personali entrano all’interno della struttura organizzativa ‐ fino dal momento della progettazione di un nuovo servizio o prodotto, terminando l’utilità con la loro distruzione.
Da questa semplice enunciazione si può comprendere come, rispetto alla precedente normativa nazionale, non si parli prevalentemente di prassi legale e burocratica ma di una modalità che fa riferimento a due elementi principali: il controllo di processi e procedure aziendali riferiti ai dati personali e le tecnologie, in continua evoluzione, utili alla loro salvaguardia.
Tali concetti sono rafforzati da un ulteriore principio ispiratore del Regolamento: l’accountability ovvero la responsabilizzazione di Titolari e Responsabili del trattamento che devono adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurarne l’applicazione. Quindi è rilasciata totale flessibilità nella scelta delle modalità operative.
L’importante è raggiungere il risultato di riduzione massima dei rischi nel trattamento dei dati personali dandone evidenza con la documentazione e la dimostrazione delle attività svolte da mettere a disposizione degli organi che controlleranno l’applicazione della normativa (I Garanti nazionali sono trasformati in organi di controllo).
Le attività da eseguire con il supporto del software MAAT sono le seguenti:
A) Rilevazione, mappatura e analisi dello stato organizzativo ed operativo
1.‐ organigramma Privacy
2.‐ mappatura dei processi interessati dai dati personali, loro qualità e flusso, individuazione dei trattamenti ai quali sono sottoposti
3.- Valutazione dei software utilizzati riguardo la gestione dei dati
4.‐ misure di sicurezza applicate o da applicare rapportate a criteri di oggettivazione correlati alla dimensione aziendale di PMI
5.‐ esame delle clausole contrattuali riferite al trattamento dei dati personali contenute negli accordi con i fornitori di piattaforme web e nelle erogazioni di servizi (professionisti e altri) e coinvolgimento nella struttura di organigramma privacy, nomina dei responsabili del trattamento, nomina degli incaricati.
B) Valutazione dei rischi e loro riduzione
1.‐ risultato del quadro di oggettivazione delle misure di sicurezza, rilievo degli scostamenti, possibilità di implementazione e riduzione al minimo rischio
2.‐ DPIA Data Protection Impact Assessment per la valutazione di impatto sul trattamento dei dati: presa d’atto della metodologia illustrata dal Garante italiano, rilievo di presenza o assenza dell’obbligo, applicazione volontaria, ciclicità della valutazione
3.‐ revisione del Disciplinare interno aziendale con l’obiettivo di ridurre al minimo la discrezionalità degli operatori.
C) Privacy by design e Privacy by default
1.‐ predisposizione della documentazione per rilevare l’impegno aziendale sulle modalità del trattamento dei dati personali e sulla loro gestione per assicurarne la riservatezza anche con l’ausilio di apposito software gestibile via web in condivisione tra azienda e consulente
2.‐ redazione del registro dei trattamenti, enumerazione degli asset aziendali (hardware e software) e conformità con le altre scritture aziendali
3.‐ aggiornamento delle informative e loro storicizzazione
4.‐ modalità di ottenimento del consenso al trattamento e loro storicizzazione
5.‐ modalità per l’eventuale comunicazione di data breach, recupero e ripristino dei dati personali, annotazione degli eventi di violazione dei dati personali