Elaborazione di sistemi privacy

La privacy è diventata ormai uno degli aspetti più delicati da gestire per essere in regola.

Si parte dall’elaborazione di informative, lettere di incarico e procedure, fino ad arrivare a modelli complessi di scarico di responsabilità in caso di affidamento di dati a soggetti terzi.

Elaborare un “Sistema Privacy” aziendale, diventa quindi anche una occasione per tracciare i flussi informativi aziendali in modo da poter evidenziare paricolari lacune e/o criticità latenti e poter intervenire per ottimizzarle.

Di seguito vengono brevemente descritte le principali disposizioni che il Regolamento UE 679/2016 introduce e/o modifica rispetto a quanto indicato dal D.Lgs. 196/03. In buona sostanza viene introdotto un approccio basato sull’analisi del rischio e sulle misure di “accountability” (responsabilizzazione) di titolari e responsabili.

Le novità introdotte possono essere schematizzate come segue:

1.    Istituzione del Registro dei trattamenti

Tutti i titolari e i responsabili di trattamento, ad eccezione delle organizzazioni con meno di 250 dipendenti che non effettuano trattamenti a rischio, devono tenere un registro delle operazioni di trattamento (art. 30 Regolamento UE 679/2016). Si tratta di uno strumento fondamentale, non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. Il registro può essere tenuto anche in modalità elettronica e, su richiesta, deve essere esibito al Garante.

2.    ProGettazione di Misure di sicurezza Calzate sulla realtà aziendale

Le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento. Per lo stesso motivo, non possono sussistere obblighi generalizzati di adozione di misure “minime” di sicurezza (come era nelle previsioni dell’art. 33 del D.Lgs. 196/03) poiché tale valutazione viene rimessa, caso per caso, al titolare e al responsabile, in rapporto ai rischi specificamente individuati secondo quanto previsto dall’art. 32 del Regolamento UE.

3.    Gestione e Notifica delle violazioni di dati personali (data Breach)

Tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico – devono notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.

4.    Individuazione del Responsabile della protezione dei dati

Anche la designazione di un “responsabile della protezione dati” (RPD, ovvero DPO se si utilizza l’acronimo inglese: Data Protection Officer) riflette l’approccio responsabilizzante che è proprio del regolamento, essendo finalizzata a facilitare l’attuazione del regolamento da parte del titolare/responsabile. Fra i compiti del RPD rientrano “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto di cui all’art. 35 (v. punto seguente). La sua designazione è obbligatoria in alcuni casi, e il regolamento tratteggia le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali).

5.    Redazione della Valutazione di Impatto

Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel Regolamento rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente il trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati; tali impatti devono essere analizzati attraverso un apposito processo di valutazione tenendo conto dei rischi noti evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi.

Come evidenziato dalla nostra offerta, l’Audit iniziale, comprendente la mappatura dei trattamenti effettuati in Azienda, è fondamentale per contestualizzare nella specifica realtà termini e modalità di applicazione del Regolamento UE 679/2016.