Il 19 maggio 2019 é scaduto il periodo di tolleranza circa l’applicabilità delle sanzioni collegate  all’ adeguamento al GDPR come è stato sancito dal d.lgs 101/ 2018 e che è stato argomento di un articolo pubblicato su questo blog https://infoqual.it/decreto-gdpr/

Ciò comporta che da tale data eventuali inottemperanze non potranno più trovare un occhio di riguardo da parte della Autorità di Vigilanza  in ragione del fatto che i destinatari delle disposizioni del Regolamento Europeo non solo hanno avuto ben due anni per procedere alla implementazione delle necessarie misure tecniche e organizzative , ma anche ulteriori 8 mesi successivi all’entrata in vigore del decreto per effettuare tale adeguamento

Quindi, per chi non avesse ancora adempiuto agli obblighi previsti dalla normativa europea, questa scadenza rappresenta l’ultima chiamata all’ordine ed una ultima occasione per interrogarsi punto per punto su cosa è stato fatto e su cosa resta ancora da fare per ottenere la piena conformità e non incorrere nelle sanzioni previste che in alcuni casi potrebbero essere anche pesanti.

In questo articolo vogliamo riassumere quali sono sinteticamente i passi da compiere attraverso le 6 principali domande che un’organizzazione deve porsi per ottenere una corretta applicazione del GDPR.

  1. Perché?
  2. Cosa?
  3. Come?
  4. Dove?
  5. Quando?
  6. Chi?

1. Perché ?

La prima considerazione riguarda il PERCHÉ adeguarsi a quanto richiede il Regolamento Europeo GDPR. È una legge che va quindi rispettata pena una multa che potrebbe essere importante oltre a possibili cause intentate dagli Interessati al Trattamento dei propri Dati Personali eventualmente coinvolti. Inoltre, soprattutto per determinate attività in cui sono utilizzati frequentemente Dati Personali, potrebbe portare anche un’organizzazione a perdere la reputazione, la fiducia degli interessati fino alla chiusura di una attività

Dal punto di vista gestionale  invece è importante comprendere il PERCHÉ si stanno trattando Dati Personali e cioè quali sono le motivazioni che portano alla elaborazione di tali dati.

Rispondere a questa domanda significa comprendere le basi legali che portano ad  elaborare dei Dati Personali, capire se si ha il diritto legittimo di trattarli avendo obblighi contrattuali o di legge da soddisfare, oppure se è necessario richiedere il consenso

2. Cosa ?

Questa domanda porta ad individuare quali informazioni personali sono in  possesso di una Organizzazione, come sono elaborate e condivise e a quali categorie di dati debbano essere oggetto di trattamento. Se non si comprende a fondo la natura dei dati raccolti ed elaborati, i requisiti di conformità al GDPR ed i controlli specifici richiesti per proteggere i dati saranno sicuramente inefficaci: ciò è soprattutto vero quando siamo in presenza di categorie speciali di dati (i cosiddetti dati particolari ex dati sensibili) oppure, ad esempio, quando debbano essere eseguiti trattamenti automatizzati che richiedono analisi e considerazioni più approfondite.

La difficoltà  nel definire COSA è quella dovuta al fatto che molte organizzazioni hanno acquisito una grossa mole di informazioni che in alcuni casi sono ben strutturate in Data Base o in file system, ma spesso non lo sono affatto o lo sono in modo parziale a fronte di una continua crescita, a volte esponenziale, dei dati stessi.

Poiché tali dati possono essere sia dati personali che dati su cui non è necessario applicare il GDPR, prima di decidere il da farsi è necessario eseguire il duro lavoro di catalogazione e mappatura del flusso di dati per conoscere in modo esaustivo Dove, Chi e Come vengono utilizzati attualmente i dati in modo tale da predisporre il Sistema di Gestione più appropriato.

3. Come ?

L’organizzazione deve adottare misure adeguate ai dati trattati, alle finalità da essa perseguita e ai soggetti di volta in volta coinvolti nel trattamento.

Per questo il COME riguarda l’ implementazione di un Sistema di Gestione che comprende le misure tecniche e organizzative adottate per  prevenire l’abuso o l’uso improprio dei Dati Personali  che può portare alle sanzioni previste da parte della autorità di controllo.

Tale implementazione potrà avere graduazioni diverse sulla base del principio di Accountability e cioè in base alla valutazione che ciascuna organizzazione dovrà  effettuare, ad esempio, sulla Sicurezza dei sistemi, perché l’attenzione non si incentra più sul “se si verificherà un tentativo di violazione di dati personali” ma sul “quando si verificherà un tentativo di violazione di dati personali”.

Pertanto un corretta applicazione del COME riguarda la necessità di comprendere dapprima in che modo i dati sono stati acquisiti e successivamente in che modo devono essere trattati in conformità al GDPR in termini di necessità di consenso, conservazione cancellazione, richieste di accesso e ad altri diritti come il diritto all’oblio, la portabilità, le restrizioni sull’elaborazione, la notifica delle violazioni ecc.

Successivamente è necessario, attraverso il COME, porsi il problema di in che modo l’organizzazione sia in grado di gestire i Dati personali in termini di Attrezzature, Risorse Umane, Capacità e Competenza.

Infine Il COME dovrebbe essere rivisto regolarmente per garantire che le condizioni al contorno (ad esempio la  base giuridica ) non siano cambiate. Per fare ciò, è necessario eseguire una regolare mappatura dei flussi di dati, audit, valutazioni dei rischi ed effettuare i necessari periodici  Riesami  come accennato in https://infoqual.it/gdpr-e-iso9001-2015-nei-servizi-monitoraggio-e-miglioramento/ .

4. Dove ?

Prima di ogni valutazione in merito alla idoneità delle misure tecniche e organizzative, di cui abbiamo accennato nel paragrafo precedente, è fondamentale però individuare l’esatta ubicazione del dato da proteggere.

Per tale motivo il DOVE è importante per impostare quelle misure che riguardano i principi fondamentali della Sicurezza delle Informazioni è cioè che per ogni dato sia garantita in modo sistematica la Disponibilità, l’Autenticità, l’Integrità e la Riservatezza

Il DOVE significa anche impostare una corretta gestione del Trasferimento dei Dati Personali sia all’interno della propria organizzazione, ma soprattutto all’esterno magari verso paesi fuori dalla UE oppure verso aziende che effettuano trattamenti in Outsourcing di tali dati . In questo caso, ad esempio, è molto importante redigere contratti conformi al GDPR, dove siano incluse rigide istruzioni per la elaborazione, la sicurezza, i diritti degli Interessati e la segnalazione di violazioni collegate alla cessione di tali dati.

5. Quando ?

I dati personali possono essere utilizzati solo per gli scopi per cui sono stati raccolti e una volta raggiunti tali scopi, devono essere smaltiti in modo sicuro: non possono essere utilizzati per finalità differenti a quanto stabilito  senza uno specifico consenso o in assenza di altre basi legali.

Pertanto il QUANDO è relativo ad alcune domande che riguardano ad esempio il momento in cui tali dati sono stati raccolti e se  sono ancora pertinenti, accurati, aggiornati, utili ma soprattutto hanno ancora la base legale necessaria ad essere elaborati sotto GDPR

Infatti trattare dati imprecisi, scaduti o incompleti potrebbe portare a situazioni non conformi e pertanto è necessario periodicamente effettuare un’opera di aggiornamento verificando ad esempio che ad uno stesso soggetto non siano associati informazioni duplicate che sarebbero un problema nel caso si voglia esercitare il diritto all’oblio.

Infine è importante ad esempio valutare il reale tempo di conservazione dei dati una volta che il loro trattamento sia terminato. Il dato conservato oltre il tempo necessario al conseguimento delle finalità per cui è stato trattato, è un dato esposto ad un rischio non più giustificabile dalla necessità di un trattamento

In questo caso bisogna però tenere presente che tali dati potrebbero essere soggetti anche a normative o leggi di diverso tipo, le quali possono richiedere tempi di conservazione differenti e quindi tali tempi  vanno tutti bilanciati con quanto prescritto dal GDPR.

6. Chi ?

l GDPR richiede che la responsabilità di una corretta gestione dei Dati Personali sia di tutta l’organizzazione a partire dalla Alta Direzione: tutti devono comprendere il proprio ruolo nella protezione di tali Dati e contribuire alla piena conformità al Regolamento Europeo.

Qundi il CHI dapprima comporta il fatto di individuare quali sono le Parti Interessate, all’interno ed all’esterno della Organizzazione, che influiscono sulla Gestione dei Dati Personali e, sulla base dei risultati di questa analisi, chi debba avere l’ incarico di governare tale Sistema di Gestione all’interno dell’Organizzazione attraverso, ad esempio, la nomina del Titolare, degli eventuali Contitolari, dei Responsabili e degli eventuali Incaricati del Trattamento dei Dati Personali, individuando per ciascuno Compiti e Responsabilità.

Infine una questione importante del CHI è correlata ad individuare coloro che possono avere accesso ai Dati Personali, come tali dati siano eventualmente condivisi con altri soggetti , perché e quale grado di autorizzazione è stata loro fornita.

GRAZIE PER L’ATTENZIONE

 

De Martino Antonio

De Martino Antonio

Laurea in matematica presso l’Università degli Studi di Milano. Sono cresciuto professionalmente nell’ ambito della Informatica Industriale all’interno di progetti per le Telecomunicazioni e di Automazione e dal 1990 mi occupo di consulenza aziendale sia su temi di compliance normativa, di processo e di prodotto, sia su temi di gestione aziendale. Da oltre dieci anni inoltre mi occupo di argomenti legati al web ed alle vendite on line con particolare riguardo agli aspetti organizzativi, di comunicazione, di security e di Privacy Ho all’attivo interventi che riguardano più di 100 aziende sia manifatturiere sia di servizi di diverse dimensioni

Leave a Reply