Aziende e organizzazioni non possono più rimandare l’adeguamento pratico al GDPR. Il tempo utile per mettersi in regola con gli adempimenti obbligatori introdotti dal Regolamento UE 2016/679 (GDPR) è scaduto.
Giovedì 16 maggio 2019 si è infatti conclusa la fase transitoria di “tolleranza” (vera o presunta) nell’applicazione rigorosa delle sanzioni amministrative a carico degli inadempienti (così come prevista all’art. 22, punto 13, d.lgs. 101/2018).
Indice degli argomenti
Protezione dei dati: fine ultimo per ogni titolare
Come è noto, in base al principio di responsabile rendicontazione (cosiddetta accountability) contenuto nel GDPR, la protezione delle persone fisiche con riguardo al trattamento dei dati personali costituisce un preciso obbligo per associazioni, imprese e professionisti nell’ambito delle relazioni con clienti, fornitori, dipendenti e collaboratori.
Chiunque si trovi a trattare dati, ma anche immagini di terzi, deve rispettare le nuove regole impartite dal legislatore europeo, adottando in particolare adeguate misure tecniche ed organizzative.
Sin dall’entrata in vigore del Regolamento UE il legislatore europeo ha inteso porre l’accento sul concetto di “protezione” (GDPR = general data protection regulation): ogni sistema privacy di ogni titolare deve avere come fine ultimo quello di proteggere i dati oggetto di trattamento quotidiano, siano essi dati comuni, siano essi dati rientranti nelle categorie dei dati particolari/giudiziari (o forse dovremmo semplicemente continuare a chiamarli “sensibili”).
Percorso pratico di adeguamento
In questi ultimi mesi, o forse sarebbe più corretto dire in questi ultimi anni, si è molto discusso circa gli “adempimenti privacy” che associazioni, imprese e professionisti avrebbero dovuto realizzare in ottemperanza al nuovo GDPR.
In realtà, per quanto diffuso e utilizzato possa essere il termine “privacy” e per quanto con tale termine si continui a guardare al complesso mondo dei dati e dei trattamenti eseguiti sugli stessi, il messaggio che sin dal 24 maggio 2016 avrebbe dovuto essere fatto proprio da ogni titolare del trattamento era il seguente: “devo fornire adeguata protezione ai dati delle persone di cui vengo a conoscenza e che tratto e conservo quotidianamente”.
A tale messaggio sarebbero poi seguiti i quesiti amletici che ancora oggi, a distanza di 3 anni dall’entrata in vigore del Regolamento UE 2016/679, alcune aziende ancora si e ci pongono: cosa posso fare nell’immediato? Come posso evitare sanzioni anche gravose? Sono obbligato a tenere un registro dei trattamenti?
È in questo quadro, e in questo clima di parziale scetticismo rispetto alla materia (adempimenti vissuti ancora oggi come inutile burocrazia che, come se ce ne fosse bisogno, riempie ulteriormente gli armadi dell’ufficio), che non può rimandarsi oltre un percorso di adeguamento pratico al GDPR che guardi al vero fine ultimo dell’adeguamento: la protezione dei dati (data protection) delle persone fisiche.
Se è vero dunque che non si può in alcun modo prescindere da una conoscenza approfondita della materia e in primis della norma che la governa, è altresì vero che per l’imprenditore, per il professionista, a prescindere dalle dimensioni dell’organizzazione interna, diventa fondamentale non solo toccare con mano il plusvalore che un adeguamento del sistema privacy può portare all’organizzazione, ma altresì capire nella pratica quotidiana cosa cambia, cosa i propri dipendenti/collaboratori sono chiamati a fare, cosa materialmente significa “proteggere i dati” e, naturalmente, quali implicazioni economiche ed organizzative ha un tale adeguamento.
Adeguamento pratico al GDPR: spunti operativi
Diventa pertanto necessario avere chiaro quale sia il percorso da intraprendere, magari coadiuvati dall’aiuto di un professionista del settore.
Di seguito, per punti, qualche spunto operativo:
- Preliminarmente effettuare un audit interno che ci dia una fotografia, seppur sommaria, del nostro sistema privacy: in altre parole, sulla base di un confronto con i soggetti che occupano le varie aree aziendali o con i collaboratori di Studio, valutare quali tipologie di dati vengono trattate quotidianamente ed internamente, quali soggetti trattano questi dati, come e dove vengono conservati, a chi vengono comunicati, con chi, all’interno dell’azienda, vengono condivisi e via dicendo.
- Il punto 1 è inevitabilmente legato a quella che nella mia personale esperienza ha preso il nome di mappatura dei flussi privacy: capire da chi arrivano i dati, chi all’interno della nostra azienda li raccoglie, a chi li comunica esternamente, a chi ritornano internamente.
- Si potrebbe dire, forse in modo azzardato, che le fasi 1) e 2) costituiscano il 70% del lavoro cui sono chiamati da due anni ad oggi i titolari del trattamento.
- “Mappare” naturalmente non è sufficiente: sulla base infatti delle risultanze di cui ai punti 1) e 2) (e, aggiungerei, sempre con il supporto di un professionista) andrà rilevata l’obbligatorietà o meno di eseguire la cosiddetta valutazione d’impatto privacy (DPIA).
- Mappare e fotografare il proprio sistema privacy consentirà al singolo titolare del trattamento una più facile predisposizione della documentazione GDPR (informative, nomine a soggetti autorizzati, contratti di nomina del responsabile del trattamento, registro dei trattamenti).
Naturalmente, le misure adeguate da adottare al fine di scongiurare eventuali violazioni nei trattamenti di dati quotidianamente eseguiti saranno quelle organizzative, ma prima ancora quelle tecniche: diventa altrettanto imprescindibile una verifica delle misure di protezione delle informazioni (ad esempio, tenuta dei firewall e dei database adottati, misure per la protezione degli accessi a Internet, della posta elettronica).
Conclusioni
L’invito a imprese e professionisti è quello di verificare con attenzione il percorso di adeguamento pratico al GDPR sinora intrapreso e la sua conformità/adeguatezza rispetto ai principi e agli obblighi introdotti dal GDPR.
È bene ricordare, d’altronde, che le sanzioni amministrative possono arrivare fino a 20 milioni di euro o, per le imprese, al 4 per cento del fatturato mondiale totale annuo dell’esercizio precedente.
Ma i rischi non sono solo questi: infatti, un trattamento illecito o una violazione dei dati può essere fonte di responsabilità civile e dare luogo a richieste risarcitorie, anche di notevole entità, da parte degli interessati.
Insomma, è meglio non rischiare.
