Privacy, conoscere le regole del Gdpr è un vantaggio per chi fa business
Chiara Ciccia Romito – Avvocato e consulente privacy Confartigianato Bologna, Fellow Research dell'ISLC, Università degli Studi di Milano
Ecco quali sono i comportamenti che il titolare del trattamento deve tenere in materia di protezione dei dati personali
Il fulcro del Regolamento europeo 2016/679 in materia di protezione dei dati personali (General data protection regulation) è rappresentato dal concetto di accountability: la responsabilizzazione del titolare del trattamento. Tale principio impone al titolare di porre in essere comportamenti proattivi ai fini della tutela dei dati trattati e lo impone, sin dalla fase di progettazione (privacy by design). Nel medesimo contesto si inserisce il principio di privacy by default relativo al modo tecnico e organizzativo con cui si opera ai fini dell’utilizzazione dei dati.
Il Garante della privacy ha ripreso a più battute i principi suddetti quale perno dell’intero processo impositivo, infatti, il concetto di privacy by design e by default incidono con forza sull’aspetto di responsabilizzazione del titolare del trattamento. Posto quindi l’accento sull’importanza che il Regolamento pone alla protezione del dato in ogni fase di vita dello stesso (privacy by design e privacy by default) e considerata grande aspettativa che il legislatore europeo ripone in capo al titolare del trattamento, si delineano di seguito i principali adempimenti per un trattamento a norma.
Il Garante della privacy ha ripreso a più battute i principi suddetti quale perno dell’intero processo impositivo, infatti, il concetto di privacy by design e by default incidono con forza sull’aspetto di responsabilizzazione del titolare del trattamento. Posto quindi l’accento sull’importanza che il Regolamento pone alla protezione del dato in ogni fase di vita dello stesso (privacy by design e privacy by default) e considerata grande aspettativa che il legislatore europeo ripone in capo al titolare del trattamento, si delineano di seguito i principali adempimenti per un trattamento a norma.
- Individuazione dei trattamenti: occorre prestare molta attenzione a questa fase di analisi, infatti, il più delle volte il titolare del trattamento non è a conoscenza del fatto che un trattamento possa comportare un rischio alla tutela imposta dalle normative vigenti; si pensi per esempio all’azienda 4.0 che registra i dati dei dipendenti, le ore lavorate, le modalità di lavorazione, l’attività di fatto svolta dal lavoratore, oppure, a un sito obsoleto cosiddetto in disuso, ma dove ancora circolano dati o registrazioni.
- Una volta elaborata questa fase occorre delineare un piano di protezione. Lo stesso è favorito da una compliance puntuale e precisa, improntata sul principio di trasparenza. Ciò, comporta il dovere per il titolare di rendere edotto l’interessato di una serie di informazioni. Ne discende la conseguente rinnovazione delle informative che richiedono una particolare attenzione al contenuto.
- Il contenuto dell’informativa rappresenta lo specchio dell’applicazione dei dettami del GDPR non si tratta di moduli pre-impostati, ma tutt’altro. Esse infatti contengono le informazioni necessarie per delineare se il trattamento dati è in linea con le disposizioni normative e hanno la preziosa funzione di portare a conoscenza degli interessati i diritti da loro esercitabili e le modalità di esercizio degli stessi.
- Il titolare del trattamento oltre a impostare una corretta compliance aziendale deve, infatti, prospettare una modalità di esercizio dei diritti; accertarsi di compiere una corretta raccolta del consenso ed essere in grado di dimostrare che la raccolta sia avvenuta nella modalità richiesta dalla legge.
- Valutare la nomina del DPO: la nuova figura imposta del Regolamento, il data protection officer. La nomina di un Responsabile della protezione è obbligatoria negli ambiti in cui le attività di trattamento presentano rischi per l’interessato, nelle aziende con più di 250 dipendenti, oltre che le PA.
- Le operazioni di trattamento devono essere riportate con rigore certosino all’interno del registro dell’attività. Tale registro nell’impostazione originaria del legislatore era stato delineato solo per le imprese con più di 250 dipendenti, oltre che per le PA, tuttavia il Garante ha chiarito che la sua tenuta è altamente consigliata a tutte le realtà anche le più piccole. Il registro dei trattamenti rappresenta, infatti, lo strumento principale a disposizione del titolare per dimostrare la corretta applicazione dei dettami del Regolamento europeo.
- Quando poi si effettuano attività che comportano rischi connessi il diritto alla riservatezza e protezione dei dati personali, ma in generale un rischio a tutti i diritti che potrebbero essere compressi nella mancata applicazione del GDPR, il Titolare del trattamento dovrà effettuare, ai sensi dell’art. 35 GDPR, una valutazione d’impatto (DPIA).
- L’art. 32 del GDPR impone al titolare del trattamento di attuare misure tecnico organizzative per garantire un livello adeguato di sicurezza e deve tenere in considerazione tra le altre cose “la capacità di assicurare su base permanente la riservatezza, l’integrità e la resilienza dei servizi di trattamento”. Ciò comporta una preliminare analisi degli strumenti di sicurezza all’interno dell’azienda sia digitali che cartacei.
- Infine, è centrale l’attuazione di un percorso formativo ai dipendenti che consenta di accrescere la cultura dell’attenzione nelle fasi di trattamento. Una corretta formazione consentirà agli incaricati di responsabilizzarsi e di evitare comportamenti a rischio per la tutela imposta dalla normativa.