Nuovo Regolamento Europeo sulla Protezione dei Dati GDPR

NON CHIAMIAMOLA PIU’ PRIVACY !!!

Privacy GDPR

Privacy GDPR

Se vogliamo comprendere la portata delle nuove norme a cui tutte le aziende dovranno adeguarsi, meglio non pensare al termine PRIVACY che, ingannandoci, troppo spesso fa pensare al mero trattamento dei dati ritenuti  “sensibili” (razza, religione, orientamento politico e sessuale, dati biometrici etc.).

Quando una controparte (cliente, fornitore, dipendente, partner commerciale) ci fornisce i propri dati ci sta dando – in custodia – dei “beni” di sua proprietà che dobbiamo saper trattare con diligenza, organizzare e gestire e, talvolta, “restituire” al legittimo proprietario evitando ogni possibile rischio che quel bene (il dato) sia da noi trattato anche inconsapevolmente al di là dello scopo per il quale ci è stato fornito.

In più siamo chiamati a custodire il dato evitando che questo possa essere trattato impropriamente, o addirittura sottratto ed entrare nella disponibilità di terzi; in questi casi procuriamo un potenziale o un circoscritto danno alla parte interessata.

E’ tutto qui quel che bisogna comprendere in merito al concetto di responsabilità circa la protezione dei dati che risiedono nei nostri archivi siano essi cartacei, informatici, o digitali.

E bisogna soffermarsi sulla considerazione che ciò che va tutelato è il dato posseduto, in funzione del titolo di possesso e tenendo conto del rischio di perdita, sia per l’azienda detentrice che per la controparte “proprietaria” del dato.

Recenti esperienze registrate in materia di furto di dati e di collegati fenomeni estorsivi sono solo un esempio del diffondersi di eventi di criminalità associata all’uso dei dati quale merce di scambio e – quindi – ci aiuta a riconoscere al dato un valore patrimoniale dell’azienda oltre che come bene di terzi in custodia.

IL RIFERIMENTO

La normativa sulla protezione dei dati si è evoluta e le aziende si sono nel tempo adeguate al D.Lgs. 196/2003 (privacy) che troviamo citato in genere al fondo pagina di innumerevoli testi informativi (cartacei ma sempre più spesso anche informatici e digitali) che per lo più sottoscriviamo senza una vera comprensione del senso della adesione.
Quella normativa cede il passo, con vigenza dal prossimo 25 maggio 2018, al Regolamento UE 2016/679 che è a tutti gli effetti la norma cogente da rispettare, ferme restando alcune (marginali) riserve normative demandate agli Stati Membri.

I CONTENUTI ESSENZIALI

Inutile annoiarvi con richiami di normativa che distraggono quanto spaventano.
Adeguarsi al Regolamento Protezione Dati significa sostanzialmente queste cose: Privacy GDPR

  1. Provvedere ad una analisi, basata sul rischio, dei trattamenti di dati che trattate;
  2. Identificare il Titolare del Trattamento
  3. Identificare e nominare il / i Responsabili di Trattamento
  4. Identificare gli Incaricati di Trattamento
  5. Identificare e nominare il Responsabile della Protezione dei Dati (il DPO)
  6. Istituire procedure esplicite di trattamento dei dati ai vari livelli aziendali
  7. Istruire e formare idoneamente le persone coinvolte nelle fasi di trattamento
  8. Organizzare uno schema di audit per la verifica del Sistema Protezione Dati

Se rimaniamo alla lettera dal Regolamento, il DPO è una figura non sempre obbligata dalla norma ed è richiesta in particolare quando i trattamenti – per qualità – richiedono monitoraggio regolare e sistematico su larga scala di dati o comunque quando su larga scala si trattano particolari dati personali.

Tuttavia, salvo valutazione sul campo, suggeriamo la nomina del DPO per tutte le aziende di media dimensione o per quelle che gestiscono significativa mole di dati.

Tra le maggiori novità introdotte dal c.d. “Regolamento Privacy GDPR”, merita di essere segnalata, sicuramente, quella delle certificazioni: è ora previsto il coinvolgimento di Organismi di certificazione accreditati per valutare la conformità dei sistemi di protezione dei dati attivati dai titolari o dai responsabili del trattamento soggetti al Regolamento.

Infine, l’adozione delle certificazioni serve ai titolari del trattamento per offrire – nella prospettiva risk based che permea l’intero Regolamento – uno strumento per dimostrare (o, quanto meno, per determinare una presunzione) di aver adottato delle misure di sicurezza efficaci, nonché per limitare l’importo della sanzione, in caso di eventuale contestazione.

Facciamo un esempio:

Gestiamo un’autorimessa ed i nostri clienti ci lasciano le loro automobili, incaricandoci della revisione obbligatoria; noi sappiamo di dovere avviare, spostare, provare su strada le auto per revisionarle. Dopo che l’avremo fatto sappiamo di dovere restituire le vetture e – per questo – ci poniamo il problema anche di custodirle con diligenza affinché non siano danneggiate o sottratte; in più ci porremo il problema che i nostri Operai le manovrino limitatamente alle operazioni necessarie per completare le fasi di lavorazione finalizzate alla corretta revisione.

Supponiamo che risulti complesso il via vai di clientela, alta la probabilità dei furti, elevato il valore delle auto che solitamente transitano nell’ officina; decideremo di dotarci di un Supervisore che controlla le operazioni che si compiono nella rimessa magari dotandolo di strumenti di prevenzione e difesa contro sottrazioni e furti.

Dunque:

La singola automobile è il Dato che, nel nostro esempio, va restituito al legittimo proprietario.
L’officina è il Titolare del Trattamento (per essa il soggetto apicale definitivamente responsabile)
Il Capo Officina è quello che chiameremo Responsabile del Trattamento
Gli Operai tutti saranno chiamati Incaricati del Trattamento
Le istruzioni che daremo ai nostri collaboratori rappresentano i trattamenti autorizzati
Il Supervisore è il nostro Responsabile della Protezione (DPO)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

%d blogger hanno fatto clic su Mi Piace per questo: