GDPR 2018, cosa fare per mettersi in regola

Il 25 Maggio 2018 il nuovo Regolamento Europeo sulla Privacy 2016/679 diventerà direttamente applicabile in tutti gli Stati membri eppure, per quanto se ne parli molto, non è ancora chiaro che cosa si debba fare nella pratica per mettersi in regola. Se vuoi parlarne di persona chiama il numero 055 552. 0647 oppure scrivi una mail […]

gdpr-cosa-fare

Il 25 Maggio 2018 il nuovo Regolamento Europeo sulla Privacy 2016/679 diventerà direttamente applicabile in tutti gli Stati membri eppure, per quanto se ne parli molto, non è ancora chiaro che cosa si debba fare nella pratica per mettersi in regola.

Se vuoi parlarne di persona chiama il numero 055 552. 0647 oppure scrivi una mail all’indirizzo [email protected].

In ogni caso qui sotto trovi un elenco di punti che ti aiuta a capire cosa fare con il Regolamento GDPR in dieci mosse.

1) La prima cosa da fare è un esame della situazione attuale.

Dobbiamo con pazienza fare mente locale a tutti i dati che trattiamo e seguirli tenendo in mano un immaginario filo di Arianna, dal momento in cui ci sono stati conferiti o da quando li abbiamo ricavati da qualche elenco, fino al momento del loro utilizzo o del loro trasferimento a terzi. In questo modo ci renderemo conto di quale sia il “flusso” che segue il dato e capiremo anche quanti e quali passaggi fa.

2) Fatto l’esame ci si deve mettere al tavolino e preparare un organigramma delle persone che trattano i dati, indicando a fianco di ognuna quali dati tratta e come li tratta, se solo in forma cartacea, se con strumenti elettronici o software particolari.

3) Terzo, occorre fare un vero e proprio sopralluogo dei locali e con l’aiuto di una piantina individuare dove si trovano fisicamente i server, le apparecchiature e gli archivi cartacei che contengono i dati.

4) A questo punto avremo una visione piuttosto chiara di come circolano i dati all’interno dell’azienda, ma il lavoro non è finito e bisogna procedere a guardare se e come i dati vengono trasferiti e trattatati all’esterno.

Si dovrà quindi porre attenzione e valutare se ci sono persone che trattano i nostri dai o i dati dei nostri clienti come i consulenti o i fornitori di servizi per conto terzi.

5) Dopo avere fatto il censimento completo di quali dati trattiamo e di chi li tratta, si deve porre attenzione al “come” vengono trattati.

Si preparerà un documento con tutte le informazioni raccolte e si dovrà stabilire se questo modo di trattare i dati è sufficientemente sicuro oppure è si rischia la perdita o un accesso abusivo ai dati. Questa valutazione serve per cambiare eventualmente il modo di trattare i dati e quindi per stabilire le condizioni del trattamento, le regole che devono essere seguite all’interno dell’azienda per trattare i dati in modo sicuro e rispettoso.

6) Dopo avere messo al sicuro i dati dal lato umano dobbiamo pensare alle apparecchiature.

Nuovamente si tratta di valutare se gli archivi, piuttosto che i server, i computer, i telefoni cellulari e tutti gli apparati che contengono dati siano davvero protetti.

In particolare per quanto riguarda il dato conservato in forma digitale si dovranno prevedere firewall, backup, procedure di disaster recovery ma, soprattutto, tutti i sistemi dovranno essere predisposti in modo tale da consentire la portabilità dei dati. Infatti il Regolamento prevede che entro un massimo di 30 giorni si debbano consegnare i dati digitali in nostro possesso in un formato che possa interoperare con altri software. Resta poi di fondamentale importanza adottare internamente il Disciplinare sull’uso degli strumenti elettronici già a suo tempo previsto dal Garante.

7) Ora che il panorama è chiaro si procede con la preparazione dei documenti. Il primo documento da preparare è l’Informativa privacy che deve essere preparata in modo unitario per categorie di dati e di soggetti interessati al trattamento. Non è detto che una sola informativa sia sufficiente ma potrebbero essercene diverse a seconda dei trattamenti che si effettuano. Soprattutto l’Informativa deve essere personalizzata e cucita addosso come un abito su misura. Si tenga presente che le vecchie informative non vanno comunque più bene e devono essere quanto meno aggiornate con i nuovi diritti degli interessati. Si procede poi a predisporre le Nomine dei responsabili del trattamento, interni o esterni, e degli Incaricati con la precauzione di farli in forma contrattuale. Anche le Nomine devono essere fatte “ad hoc” e saranno diverse in base alle specifiche mansioni svolte.

8) Si adotteranno all’interno dell’azienda tutte le misure di sicurezza necessarie a minimizzare il rischio di perdita dei dati o di accesso abusivo tenendo conto dell’importanza dei dati e delle conoscenze tecniche disponibili, facendo tutto quello che è possibile per mitigare il rischio.

Tra le misure di sicurezza rientrano i corsi di aggiornamento a coloro che trattano i dati che sono necessari per evitare che si commettano errori o vi sia una cattiva gestione dal lato umano.

9) Adesso che tutto è ordinato occorre documentarlo.

Si deve predisporre il Registro dei trattamenti in cui si elencano tutti i trattamenti dei dati che vengono effettuati ma questo è necessario aggiungere un documento che descriva l’organigramma e la procedura adottata per la gestione dei dati in azienda, allegando anche tutti i documenti che sono stati preparati. Occorre in pratica preparare qualcosa di analogo al vecchio DPS (Documento Programmatico della Sicurezza) implementandolo con i nuovi adempimenti previsti dal regolamento. In sede di controllo saremo così in grado di dimostrare (“accountability”) di avere adottato tutte le misure possibili per il rispetto della privacy.

10) Il lavoro è a questo punto finito, o meglio appena iniziato.

Come abbiamo detto la gestione della privacy è un processo che per sua natura è ciclico. Dobbiamo quindi testare il processo e valutare se sia adeguato, predisponendo un Valutazione d’impatto (DPIA). Questa non è sempre obbligatoria ma è senz’altro utile. Con questo documento si indicano i vari trattamenti e si valuta se le misure di sicurezza adottate sono sufficienti o no ed in questo secondo caso si programmano possibili miglioramenti.

La DPIA fa un quadro della situazione ma è anche una dichiarazione programmatica in cui si indicano le misure che si vogliono adottare. Verrà fissato un termine per attuarle e trascorso questo termine si controllerà che tutti i punti da 1 a 9 risultino confermati come validi oppure verranno migliorati in modo che i dati siano sempre trattati nel modo migliore possibile.

Grazie a questo articolo sai come agire in vista del prossimo 25 maggio, se vuoi una consulenza sul caso specifico della tua azienda, allora chiama al numero  055 552. 0647 oppure scrivi una mail all’indirizzo [email protected].