GDPR 2018: Una corretta formazione per adeguarsi alla nuova normativa

144
gdpr privacy e dati sensibili

di Mattia D’anna

Il Gdpr, che ricordiamo essere l’acronimo di General Data Protection Regulation, entrato ufficialmente in vigore il 25 maggio del 2016, inizierà ad avere efficacia da maggio 2018; di fondamentale importanza per le aziende italiane sarà allinearsi alla normativa, così come per tutti gli altri paesi dell’Unione Europea, in modo tale da poter rispettare le nuove esigenze imposte dal regolamento sulla privacy ed evitare di incorrere in sanzioni.

Per far si che tutto ciò accada, per le aziende è previsto un processo di consulenza e formazione, che possa aiutarle ad entrare a pieno regime nella nuova normativa e mettersi alle spalle quella vigente (ritenuta, ormai, inadeguata dall’Unione Europea). Per chi non lo sapesse la formazione sarà ripetuta ad intervalli durante il ciclo di vita aziendale delle imprese, soprattutto se nel corso del tempo dovessero esserci cambiamenti nel regolamento del trattamento dati personali.  Perché l’importanza della formazione? Tutto parte dalla necessità di orientare i propri dipendenti ad un corretto utilizzo, e applicazione, della nuova normativa per poter gestire i dati personali degli utenti e poterli proteggere con cognizione.

La formazione risulta essere ancor più fondamentale se pensiamo che, basandoci su una ricerca condotta da SAS (Statistical Analysis Software), il 58% delle aziende mondiali non sono pronte al cambiamento, non avendo ancora studiato un piano d’adeguamento in quanto non hanno ancora ben chiare quelle che saranno le novità che il cambiamento porterà tra poco più di 6 mesi. A questi dati dobbiamo aggiungere quelli della WatchGuard Technologies, attraverso una ricerca Vanson Bourne (nel mese di settembre 2017), che afferma che il 37% delle imprese campione non è sicura di dover aderire al nuovo regolamento sulla privacy del Gdpr. Questo ci fa comprendere quanto la formazione sarà di estrema delicatezza, di fronte ad uno scenario che vede molte imprese in balia delle incertezze.

E’ importante, dunque, che i dipendenti ed i titolari delle aziende siano ben formati (e informati) sul Gdpr perché questo può soltanto essere d’aiuto alle imprese; basti pensare alla diffusione di dati riservati: questo aspetto può essere risolto soltanto attraverso una giusta formazione che metta il dipendente in condizione di sapere come evitare di commettere un illecito che porti ad una sanzione per il titolare dell’azienda in questione; ancora, la formazione può aiutare ad incanalare la forma mentis di quell’impresa (e dei suoi dipendenti) su cosa è consentito e cosa no all’interno della nuova normativa sulla privacy.

Il nuovo regolamento sulla privacy, naturalmente, non lascia le imprese totalmente impreparate; basta infatti consultare la normativa del Gdpr per comprendere la necessità di formazione da parte di titolari e dipendenti al fine di attuare tutte le misure di sicurezza relative al trattamento di dati sensibili; misure che corrispondono ai principi di verificabilità, visibilità e testabilità (principi che in caso di violazione si tramutano in pesanti sanzioni). È molto importante, quindi, adeguarsi al regolamento e seguire una giusta formazione che prevede, inoltre, la presenza di una nuova figura: il DPO (Data Protection Officer).

Il DPO, infatti, è quello che in lingua italiana potremmo definire Responsabile Protezione Dati e svolge una funzione di estrema rilevanza. Partendo dal presupposto che questo responsabile risulta essere una novità per l’Italia (e non per altri paesi dell’Unione Europea che avevano già istituito questa figura di spontanea volontà, in quanto non c’era l’obbligatorietà di designazione), il titolare dell’impresa può, e deve, designarlo in fase di progettazione per rientrare rigorosamente nelle tempistiche prestabilite (maggio 2018); non a caso l’articolo 39 del Gdpr 679/2016 recita cosi: “il DPO deve informare e fornire consulenza al titolare e al responsabile del trattamento in merito agli obblighi derivanti dal Regolamento 679/2016 o dalle altre disposizioni legislative interne o europee in materia di protezione dati”. Si evince chiaramente che il DPO avrà funzione di guida ed anche consulenza in fase di adempimento, all’interno della quale verranno messe in chiaro quelle che sono le regole da seguire, e rispettare, in modo da non violare alcuna norma e non incorrere in sanzioni.

Sicuramente una corretta ed efficiente formazione deve seguire uno schema ben preciso, ovvero ogni azienda dovrà analizzare determinati aspetti interni, ed esterni, per capire come muoversi per adeguarsi alla nuova normativa; i fattori da analizzare sono:

  1. i settori in cui l’azienda opera (i vari business);
  2. l’organigramma aziendale (quindi tutte le figure presenti all’interno dell’azienda);
  3. gli eventuali trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale;
  4. le certificazioni in possesso dell’impresa (per valutare che i sistemi di protezione dati siano conformi alla legge);
  5. le categorie di dati che vengono quotidianamente trattati.

Questo quadro generale permetterà al titolare di avere una schematizzazione della propria impresa sui ruoli, l’organizzazione, le persone coinvolte, i processi svolti e la documentazione che permette di capire come dovrà muoversi per adeguarsi al nuovo regolamento.

A questo punto scatta la fase della formazione; l’azienda avrà la possibilità di ottenere una consulenza, nonché una guida (grazie ad un personale competente e specializzato in materia di protezione dati) a cui appellarsi per seguire tutti i passi verso l’adeguamento alla nuova normativa sulla privacy.

Tutto questo processo porterà alle valutazioni d’impatto, vale a dire valutare tutto ciò che riguarda i dati protetti prima che questi vengano trattati; fondamentalmente si parla di una valutazione  che assicuri una totale trasparenza  nelle operazioni di trattamento di dati sensibili (nonché riservati), che possa proteggerli, in quanto una perdita di dati comporta una sanzione, una sanzione comporta una perdita di denaro e il tutto arreca solo forti danni all’azienda e al suo titolare in primis. Tuttavia bisogna precisare che le valutazioni d’impatto non sono sempre obbligatorie e che lo diventano soltanto quando si verificano tre casi, così come possiamo leggere nell’articolo 35, 3° comma del Regolamento; i tre casi sono:

  1. una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato;
  2. un trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati;
  3. una sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Stabilito se c’è l’obbligatorietà o meno delle valutazioni d’impatto, le imprese dovranno seguire questa analisi su quelli che possono essere potenziali rischi, in termini di perdita dati; per esempio si potrebbe verificare se i macchinari e i computer presenti in azienda sono idonei o rischiano di provocare una fuga dati (che porterebbe ad una pesante sanzione). A dirigere la valutazione ci sarà il Data Processor (responsabile del trattamento), che seguirà l’analisi e garantirà che siano seguite tutte le misure di sicurezza. Successivamente ci sarà una fase di consultazione, tra tutte le parti interessate per garantire la trasparenza dell’analisi, un report che faccia da rendiconto della valutazione e infine ci sarà il risultato della valutazione d’impatto che decreterà se l’azienda ha annullato, o ridotto al massimo, i rischi o se bisognerà rivolgersi all’Autorità Garante.

Questo, quindi, è quanto c’è da sapere circa l’avvicinamento a maggio 2018; e cioè quando il nuovo regolamento sulla privacy avrà ufficialmente efficacia in un contesto rispetto al quale le aziende si ritrovano ancora in alto mare ma che, fortunatamente, mette a disposizione delle stesse, esperti pronti ad essere una valida guida per risolvere ogni dubbio e problematica per l’adeguamento.