discover our V.D.R.

News - GDPR Protezione e controllo dei dati

01 FEBBRAIO 2018

GDPR. Protezione e controllo dei dati.

GDPR. Da obbligo giuridico ad asset competitivo.

Baldo Meo (portavoce Garante Privacy): “Aziende attente a prepararsi per le nuove norme. È necessario un approccio sistemico”. Sullo stato di adeguamento delle aziende italiane alla normativa il giudizio a oggi è sufficiente o no?

Il mondo imprenditoriale è consapevole dell’impatto che il Regolamento Ue avrà sull’organizzazione e sulle procedure da mettere in atto e sta dimostrando di essere attento a non farsi trovare impreparato alla scadenza del 25 maggio; ciò vale soprattutto per quelle imprese che hanno operato bene negli ultimi 20 anni, da quando cioè in Italia è in vigore una normativa specifica sulla protezione dei dati, rispetto alla quale il Regolamento non rappresenta in realtà una rivoluzione, ma una evoluzione.
Il Regolamento non dovrebbe essere tuttavia essere visto come un aggravio, ma come un’opportunità per sottoporre ad una revisione complessiva tutti i processi e le modalità di la gestione dei dati alla luce dei nuovi contesti tecnologici e dei nuovi bisogni di tutela espressi dalle persone. La protezione dei dati personali deve rappresentare per le imprese non tanto e non solo un obbligo giuridico quanto, piuttosto, una componente strategica, un asset competitivo e una competenza da sviluppare all’interno dell’organizzazione aziendale.

Per quanto l’apparato sanzionatorio introdotto dal Regolamento sia particolarmente robusto, non può essere l’unico aspetto in grado di assorbire tutte le preoccupazioni delle imprese.

La nuova normativa impone nuovi livelli di professionalità e di organizzazione e pone un accento diverso sulla sicurezza dei sistemi, anche in caso di esternalizzazione.

La sicurezza del patrimonio informativo dell’impresa e dei sistemi che conservano i dati non costituisce più un elemento accessorio e strumentale, ma richiede un approccio sistematico. La sicurezza dei dati è già oggi, ed è destinata a diventarlo sempre di più, il presupposto essenziale per la liceità dei trattamenti e per assicurare che i dati siano sempre integri, corretti e aggiornati. Diversi sono gli istituti presenti nel Regolamento volti alla prevenzione del rischio, tra i quali anzitutto la già ricordata valutazione d’impatto Funzione preventiva hanno anche le misure di protezione adottate fin dalla progettazione (privacy by design) o per impostazione predefinita (privacy by default), finalizzate ad assicurare delle garanzie indispensabili per la tutela dei diritti degli interessati e la minimizzazione del rischio connesso alle operazioni svolte.

Analoga funzione ha anche l’obbligo di notifica dei data breach da cui possano derivare rischi per i diritti e le libertà degli interessati, da svolgersi entro 72 ore e comunque senza ingiustificato ritardo. I responsabili del trattamento, cioè le aziende e gli enti che trattano dati in outsourcing, sono tenute a collaborare con i titolari nella definizione delle misure tecniche e organizzative adeguate e devono inoltre rispettare una serie di obblighi che li riguardano direttamente e che sono ispirati agli stessi principi di accountability che valgono per i titolari. In cosa cambia il rapporto Garante- azienda con il Gdpr?

 

Il Regolamento come detto ha un approccio basato sulla prevenzione rischio e sulla responsabilizzazione dei titolari del trattamento, che devono mettere in atto comportamenti proattivi ed essere grado di dimostrare di aver concretamente adottato misure fina-lizzate ad applicare la nuova disciplina e a proteggere i dati. L’intervento dell’Autorità sarà di accompagnamento dell’implementazione delle norme, da un lato, e sempre più di verifica e accertamento del rispetto di tali norme.

Dall’altro sarà un controllo svolto principalmente “a posteriori”, che si collocherà in una fase successiva a quella delle scelte assunte dal titolare. Così si spiegano anche alcune riduzioni di oneri, come l’abolizione dell’obbligo di notificare i trattamenti al Garante e di chiedere una “verifica preliminare” (prior checking), e l’introduzione, per altro verso, di un obbligo di consultazione del Garante all’esito della valutazione di impatto svolta dal titolare che segnali il permanere di un rischio residuale elevato per i diritti degli interessati. In questa prospettiva, il Regolamento punta anche a semplificare il quadro giuridico e a razionalizzare gli oneri amministrativi, che la Commissione Ue stima in 130 milioni di euro di risparmi annui per le aziende europee.