Il GDPR (Global Data Protection Regulation) è in vigore dal 25 maggio 2018… il tempo per prepararsi è terminato! Anzi… il tempo per prepararsi è terminato? Purtroppo ancora molte aziende trascurano gli aspetti del regolamento, soprattutto quelli sanzionatori, e continuano a disinteressarsi della privacy, dando forse per scontato l’oblio parziale del precedente codice.

Cerchiamo di rendere comprensibile la complessità della normativa europea. La piena efficacia è dal 25 Maggio: il legislatore ha previsto una serie di azioni stringenti e precise in capo al titolare del trattamento dei dati – che ha visto aumentare le proprie responsabilità (accountability), che lo costringono alla preventiva analisi dei rischi ed implementazione di idonee misure organizzative e tecnologiche.

Il GDPR, non si limita ad affrontare unicamente lo spinoso tema della privacy, ma introduce un nuovo concetto, più evoluto e dinamico circa la “Protezione delle persone fisiche in relazione al trattamento dei Dati Personali”.

E’ di tutta evidenza la necessità di un “salto culturale” che tutte le organizzazioni, dalle più semplici alle più complesse, devono acquisire velocemente, qualora non lo abbiano già fatto. L’iter di adeguamento alla normativa richiede un approccio sistemico.

Quali i cambiamenti introdotti in pratica?
Oltre all’obbligo di comunicare e notificare le violazioni di sicurezza (data breach), ricordiamo:

  • il Registro dei trattamenti,
  • la Valutazione d’impatto,
  • l’introduzione della figura del DPO (Data Protection Officer),
  • l’introduzione di concetti quali la privacy by design e la privacy by default,
  • l’importanza rivestita dalla formazione.

Quali gli errori da non commettere?

  • intraprendere il percorso di adeguamento – che deve essere declinato attraverso un nuovo approccio culturale ed organizzativo – solo in termini di un “mero” costo e non anche come un’opportunità di competitività;
  • supporre che un sofisticato programma, seppur rispondente alle esigenze della nostra organizzazione, possa rappresentare “la panacea di tutti i problemi”, e tralasciare che si tratti di uno strumento di supporto per adeguarsi alla nuova normativa.

Siamo di fronte ad un vero e proprio rischio di processo che coinvolge l’organizzazione nella sua interezza. Ogni cambiamento organizzativo si basa sulla comprensione delle azioni da implementare e sulle risorse disponibili, entrambe sempre troppo esigue.

La modalità consigliata per garantire:

  • protezione,
  • integrità,
  • disponibilità dati personali,

è quella di lavorare sui tre fronti della GovernanceLaw ed Insurance, pilastri di ogni organizzazione.

Nell’ambito sanitario, il GDPR diviene più stringente rispetto ad altre realtà poiché, trattando “dati particolari” anche di soggetti vulnerabili, il livello di attenzione e di azione sono maggiori. Tutte le strutture sanitarie sia pubbliche che private autorizzate e/od accreditate, sono chiamate ad impiegare tutti quei processi atti a tutelare la protezione delle “persone fisiche”.

Quali conseguenze potrebbe avere un’intrusione che porti alla sottrazione della banca dati, o all’indisponibilità dei dati trattati? Cosa potrebbe accadere a seguito della “compromissione” di un sistema di telemedicina o di fascicoli sanitari elettronici, o anche di dati contabili o contrattuali?

La motivazione che deve spingere enti e imprese ad adeguarsi al GDPR non deve essere rappresentata dal timore di eventuali sanzioni, bensì dalla proiezione verso un fine più alto: la protezione e la sicurezza dei propri utenti.

Si tratta di un processo che richiede un approccio di Risk Management, in grado di coordinare e far “dialogare” fra loro le diverse funzioni aziendali.

Sarà fondamentale, per i titolari, poter dimostrare di avere:

  • analizzato le attività di trattamento effettuate, considerando: le categorie di soggetti interessati, la motivazione dei trattamenti, la tipologia di dati trattati, le modalità di trattamento ed i pericoli connessi;
  • valutato le criticità che la prima fase ha evidenziato, andando a valutare l’impatto, di eventuali eventi negativi, in termini di frequenza e gravità;
  • deciso quali azioni attuare, rappresentandone le rispettive motivazioni;
  • agito per mettere in pratica le decisioni prese;
  • previsto, e messo in pratica, una serie di procedure atte a verificare l’aderenza delle azioni intraprese, alle mutate necessità della nostra organizzazione.

Ed allora quali passi intraprendere per iniziare un percorso di regolarizzazione o per verificare quanto implementato fino ad ora?

Tutte le attività che si andranno ad attuare devono avere, come obiettivo finale, quello di creare un vero e proprio Modello Organizzativo Privacy.

Quello che segue può essere considerato come un breve vademecum che potrà guidare il titolare verso l’uscita del “labirinto” normativo.

  1. Individuare i dati trattati, i soggetti interessati e la base giuridica

La prima attività è rappresentata dalla compilazione del Registro dei Trattamenti (art. 30). Questa mappatura consente di avere sotto controllo il numero dei soggetti interessati, delle tipologie di dati trattati e della loro provenienza.

  1. Dopo l’identificazione, si procede con la valutazione dei rischi

Una volta in possesso della mappa dei trattamenti, andiamo a valutarne i possibili pericoli, tenendo conto delle misure di mitigazione già messe in atto e delle eventuali misure da implementare.

  1. Sarà necessario fare una DPIA (Data Protection Impact Assessment)?

In base a quanto disposto dall’art. 35 del Regolamento, la DPIA si rende necessaria in presenza di rischi elevati che, come nel caso del settore sanitario, vengono rappresentati dalla voce “dati riferiti a soggetti vulnerabili”.

  1. Nomina del DPO (Data Protection Officer)

La nomina del DPO/RPD (art. 37), è obbligatoria per gli enti pubblici e per quelle organizzazioni che trattano particolari categorie di dati.

Può essere nominato sia un soggetto esterno che interno all’organizzazione, senza però trovarsi in situazioni che presentino conflitti di interesse.

  1. Verificare l’adeguatezza della informativa privacy

Agli artt. 13 e 14 troviamo le indicazioni relative all’informativa. I vecchi modelli dovranno essere adeguati al nuovo disposto.

  1. Predisporre il modello per il rilascio del consenso

Pur non essendo richiesta la forma scritta, bisogna poter dimostrare che il consenso è avvenuto in maniera libera, inequivocabile ed informata. L’art. 7, in maniera specifica, ne disciplina le caratteristiche ed i casi in cui è reso obbligatorio.

  1. Rispondere al diritto di trasparenza verso i soggetti interessati?

Predisporre procedure atte a rispondere prontamente ai diritti dell’interessato quali il diritto all’accesso, alla rettifica (art. 16), all’opposizione ed alla limitazione, diritto all’oblio (art. 17) ed alla portabilità (art. 20) dei dati.

  1. La Privacy by Design e la Privacy by Default

Si tratta di due principi cardine. La privacy deve essere pensata sin dalla progettazione e come opzione predefinita. E’ richiesta un’autovalutazione dell’adeguatezza dei sistemi utilizzati in relazione alla tutela dei dati.

  1. Predisporre un modello di contratto per ogni necessità

Oltre al titolare ci sono, o ci potrebbero essere, altre figure coinvolte nella gestione dei dati:

  • Contitolari
  • Responsabili esterni od interni
  • Addetti al trattamento.

E’ necessario predisporre, per ciascun soggetto, un incarico scritto che ne chiarisca competenze e responsabilità.

  1. I sistemi tecnologici potrebbero essere fonte di rischio?

Quasi tutti gli strumenti tecnologici sono oggi collegati o collegabili in rete. Questo rappresenta un potenziale pericolo che deve essere adeguatamente gestito.

  1. L’importanza della formazione

Il GDPR pone la formazione su un piano di assoluto rilievo (art. 39). E’ obbligo del titolare rendere edotti i responsabili e gli addetti delle procedure e dei rischi collegati al trattamento dei dati. Predisporre delle schede su cui registrare la formazione sostenuta da ciascun soggetto.

  1. Predisporre procedure di comportamento

Creare procedure che regolino particolari attività:

  • l’utilizzo di internet, della posta elettronica e dei dispositivi informatici (tablet, smartphone, pendrive)
  • modalità di archiviazione dei dati e loro cifratura
  • regole e limitazioni per l’accesso ai dati (chi può fare cosa)
  1. Cosa fare in caso di violazione (data breach) degli archivi?

Gli adempimenti, in caso di data breach, sono disciplinati dagli artt. 33 e 34.

Predisporre la procedura, in caso di violazione, che contenga:

  • modello di comunicazione da inviare all’Autorità garante entro le 72 ore dall’intrusione,
  • modello di comunicazione da inviare agli interessati,
  • registro delle violazioni, su cui riportare le azioni intraprese o le eventuali cause di esonero,
  • procedure e controlli di “Business Continuity”.
  1. Periodicamente… verificare!

Predisporre una procedura che preveda la verifica periodica della corretta attuazione di quelle che sono le disposizioni previste dal regolamento e la rispondenza, delle valutazioni contenute nel Modello Organizzativo Privacy, rispetto alle esigenze dell’organizzazione.