GDPR; Da dove iniziare - SPPD-RSMSEFT

Vai ai contenuti

Menu principale:

GDPR; Da dove iniziare

AREA FORMAZIONE > DISPENSE FORMAZIONE > ISTRUTTORIA MANUALE
GDPR: Da dove iniziare
RAGGIUNGERE LA CONSAPEVOLEZZA: La privacy europea è e sarà perennemente evolutiva
PRIMA DI OGNI COSA DOCUMENTARSI E CONOSCERE, POI AGIRE

Bisogna conoscere la propria organizzazione, verificare le norme di riferimento, catalogare le cose da fare, relative a questi adempimenti e pianificare le attività.
Prima difficoltà (di una lunga serie): la conoscenza della propria struttura va fatta "di corsa".

In Italia le norme sulla privacy sono vecchie di 22 anni (la prima legge, la n. 675, è del 1996). Quindi bisogna fare una valutazione "evolutiva", cioè descrivere le cose con la nuova terminologia e la nuova impostazione del Regolamento UE. Può essere utile un check up iniziale, per una verifica in primissima battuta.


Il processo di allineamento al Regolamento Generale sulla Protezione dei Dati (in breve Regolamento Privacy), comporta la pianificazione di una serie di attività, che, in sintesi, toccano le seguenti tappe:

1. analisi dell'esistente;
2. comparazione dell'esistente con lo standard normativo;
3. programmazione azioni di adeguamento;
4. realizzazione delle azioni di adeguamento;
5. controllo della correttezza/efficacia/efficienza delle azioni realizzate.

Questa lista è preceduta però da alcune attività:

1. la verifica delle unità aziendali interessate dalle modifiche
2. la individuazione dei soggetti/uffici delegati ag curare il processo di adeguamento
3. la verifica degli investimenti sostenibili (in comparazione con i costi diretti e indiretti da parziale o mancato adeguamento).

Per fare tutte e ciascuna delle operazioni sopra indicate bisogna avere conoscenza/consapevolezza (awareness) del Regolamento

Per riuscire a mettere in moto la macchina del Sistema Privacy, si devono seguire le priorità del Garante per la protezione dei dati personali.
Le indicazioni dell'Autorità di Controllo italiana sono dirette sia alle Pubbliche Amministrazioni che il mondo del privato (aziende, imprese, organizzazioni senza fine di lucro ecc).

Prima che di procedere con le attività operative necessarie, bisogna avere chiare alcune priorità propedeutiche. Alcune di queste possono essere anche adempimenti irrinunciabili. Fallirli o disattenderli può costare caro sia in temini amministrativi, che monetari, che penali e quanto meno in termini di reputazione.

A. designazione del Responsabile della protezione dei dati — RPD / DPO
B. istituzione del Registro delle attività di trattamento
C. notifica/comunicazione delle violazioni dei dati personali

COMANDA L'AZIENDA
Non c'è dubbio che la migrazione dei Sistemi Privacy aziendali comporti un notevole sforzo economico e organizzativo, tuttavia bisogna prima di tutto sfatare la mitologia secondo cui l'imprenditore è succube della Legge. Mai come in questa riforma europea denominata GDPR/2016/EU, in Italia Reg.679/2016, la proprietà può sfruttare la Protezione dei Dati per condurre scelte opportunistiche di vantaggio competitivo e miglioramento della Sicurezza Informatica. Questo è positivo in quanto il primo valore protetto dal nuovo regolamento è il proprio business.

Peraltro l'azienda può ricorrere al "legittimo interesse" bilanciando equilibratamente tra il diritto della protezione del dato personale e di quello delle basi giuridiche del business (dove presenti). Altrettanto, si pensi a come drasticamente cambiata la riforma dell'Art.4 dello statuto dei lavoratori per la quale non è più assoluto il bisogno di un consenso nell'utilizzo di strumenti di monitoraggio ICT per il controllo a distanza. Lo lo stesso "Consenso" può non necessariamente essere scritto ed esplicito, piuttosto è anche desumibile sulla base di atti concludenti e quindi "inequivocabile".
Si pensi ancora alla Minimizzazione dei dati (privacy by default) significa realizzare economie nella raccolta e conservazione dei dati, cioè ottimizzare i processi. Nuova Nomina del responsabile esterno del trattamento per regolare con apposite clausole vincolanti il livello di responsabilità civile per danni (esisterà la possibilità di chiamare in correicità soggetti esterni per rivalersi). Da ultimo l'acquisire il consenso implica la base giuridica del trattamento in quanto precede la relazione contrattuale con il cliente.

Attenzione, ci sono molte altre novità dirompenti!

LE SCELTE INNOVATIVE DI BUSINESS
la privacy non è solo sicurezza informatica ma è studio della scelte e delle politiche di impresa. Compiendo le scelte di impresa si sta già realizzando protezione dei dati. Si consideri che il concetto appena espresso non è altro se non un diverso modo di descrivere la stessa decodifica del linguaggio normativo.

I Dati Personali sono il valore aggiunto del business: lo traversano sia nei processi e lo percorrono nelle tecnologie della informazione

Vediamo come cambia il paradigma di questa rivoluzione cultura di Azienda 4.0

  • L'obiettivo di impresa dovrà essere Dato orientato.
  • I miei potenziali clienti e quelli già in porfolio sono prima di tutto Interessati
  • Le strategie per acquisire il cliente e per fidelizzarlo devono essere compliant con la Protezione dei Dati  
  • Le le misure per proteggere i beni aziendali, materiali e immateriali coincidono con quelle di protezione dei Dati
  • Un nuovo Sistema di Protezione dei Dati valorizza il personale della azienda e lo sensibilizza al business


Ognuno dei punti sopra, delinea la politica delle finalità del trattamento, della tutela degli interessati, della liceità del trattamento, della sicurezza del trattamento e della autorizzazione al trattamento.

NOTA: la sola risposta al cambiamento che l'imprenditore da volanicamente alla azienda, è già il 50% del Sistema di protezione dei Dati.






Torna ai contenuti | Torna al menu